病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
228088
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個木馬病毒,病毒運行後會到網絡上下載一個配置文件,根據該文件實現定時彈出網頁,下載插件並運行等操作。
1、病毒運行後會釋放iexp1ore.exe到%system%目錄,注重中間的字符爲數字「1」,不是字母「l」,病毒以此來僞裝自己。
2、修改注冊表,添加名爲ServiceRemote的系統服務並設置爲開機自動啓動,其文件路徑指向病毒文件。
3、添加如下注冊表項,並將其驅動程序指向病毒生成的服務。
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE]
"NextInstance"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000\Control]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000\Control]
"*NewlyCreated*"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"Service"="ServiceRemote"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"Legacy"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"ConfigFlags"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"Class"="LegacyDriver"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"DeviceDesc"="RemoteAccessConnectionManage"
4、從網絡上下載配置文件到本機