这是一个VC++编写的Downloader。该程序运行后把自身复制到%SystemRoot%\System32下,并命名为anti_troj.exe。
该病毒通过修改注册表实现随系统自动启动的功能:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\anti_troj = 病毒路径名称
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\anti_troj = 病毒路径名称
病毒首先创建一个线程检查网络连接状态,如果网络可用则完成以下功能:
1、删除%SystemRoot%\exefld\目录下的所有文件。
2、创建%SystemRoot%\exefld\目录。
3、从以下URL下载并运行恶意程序
http://25kadr.org/a.php
http://charlies-truckerpage.de/a.php
http://template.nease.net/a.php
http://s89.tku.edu.tw/a.php
http://phrmg.org/a.php
http://www.etwas-mode.de/a.php
http://757555.ru/a.php
http://www.8ingatlan.hu/a.php
http://oklens.co.jp/a.php
http://www.a2zhostings.com/a.php
http://www.abavitis.hu/a.php
http://abtechsafety.com/a.php
http://acentrum.pl/a.php
http://www.adamant-np.ru/a.php
http://furdoszoba.info/a.php
http://adavenue.net/a.php
http://ccooaytomadrid.org/a.php
http://abtechsafety.com/a.php
http://80.146.233.41/a.php
http://www.barth.serwery.pl/a.php
http://www.leap.co.il/a.php
http://virt33.kei.pl/a.php
http://www.bmswijndepot.com/a.php
http://209.126.128.203/a.php
http://www.timecontrol.com.pl/a.php
http://adoptionscanada.ca/a.php
http://65.108.195.73/a.php
http://tkdami.net/a.php
http://www.ubu.pl/a.php
http://adventecgroup.com/a.php
http://sacafterdark.net/a.php
http://agenciaspublicidadinternet.com/a.php
http://www.agroturystyka.artneo.pl/a.php
http://kepter.kz/a.php
http://ahava.cafe24.com/a.php
http://mijusungdo.net/a.php
http://aibsnlea.org/a.php
http://aikidan.com/a.php
http://202.44.52.38/a.php
http://drinkwater.ru/a.php
http://ala-bg.net/a.php
http://allinfo.com.au/a.php
http://eleceltek.com/a.php
http://alevibirligi.ch/a.php
http://alfaclassic.sk/a.php
http://allanconi.it/a.php
http://www.americarising.com/a.php
http://americasenergyco.com/a.php
http://amerykaameryka.com/a.php
http://amistra.com/a.php
http://analisisyconsultoria.com/a.php
http://calamarco.com/a.php
|
|
