A 在系统目录里产生以下文件
drivers\I386P.SYS
MSCTL32.DLL
B 创建隐藏的服务,具有以下属性:
名称: i386p
文件路径:%System%\drivers\I386P.SYS
C 增加注册表项"Asynchronous" = "1"
"DllName" = "[NAME_OF_TROJAN_DLL].DLL"
"Impersonate" = "0"
"Startup" = "Startup"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\msctl32.dll
使得病毒每次开机后自动执行
D 插入dropped.dll 到 WINLOGON 进程
E 从以下地址下载安装 icq
http://FTP.icq.com/pub/ICQ_WIN95_98_NT4/[已删除]/icq5_setup.exe
F 使用随机的TCP端口把染毒计算机作为转换代理
G 从以下地址下载执行文件
http://ftp.skystockfinance.cc/[已删除]
http://https.enjoyfit2006.biz/[已删除]
http://www2.firemonk2006.com/[已删除]
H 连接以下地址的SMTP端口25发送邮件
mxs.mail.ru
smtp.yandex.ru
maila.microsoft.com
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2006-1-16
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
