病毒特征: �$a�C�RRP!
pS4&�'���!
A.该病毒一般由MSN信息传播。 g�L�K�s�z�
B.该病毒通过连接特定的地址下载恶意代码程序。 �NTYs61$50
C.该病毒会停止windows进程。 sUo�T���.B
d(�=�~Y,H�
发作症状: 7X\t{�_"�t
_��<{�R�Bh
1.当该病毒被执行后,它会复制其本身到以下位置: *2N?�Z�TO�
- %systemroot%\Cfreer.exe 3(D7`�)V��
- %systemroot%\Nzil.exe *V=+�W��$o
- %system%\Negdo.exe KP-�u�^�9+
- %system%\juegs.exe q1�
:7��R�
xq�m'B�pc�
2.当该病毒被执行后,它会尝试连接到以下网络地址并下载 iDM]M@�fzG
:U�m?lv�g@
其他的恶意代码到如下文件夹中,病毒文件名为: 3>��3-YzN�
- Address: 209.51<…>.242 R;����AR�
- port: 80 20 <0�|
�+
- %systemroot%\SysArc.exe – detected as qd_V}r}V*.
Q�I0y i�9~
Trojan.DownLoader.22663 Pqpwb�5F
S
g:Ls*Bnz��
* Windows folder (%SystemRoot%) �^cBB���b$
-Windows 9X/ME/XP: C:\Windows z&i8{# �h;
-Windows NT/2000: C:\Winnt
��:y!pr(
l/�y�Z�fk�
3.当该病毒首次被执行后,将会出现以下错误信息: � `%g�F{�{
-error msg 4z�3�e~�|)
�S�CG)IXE*
4. 该病毒会尝试连接以下网络地址: �]�#M�-S�g
- Address: tmb<…>os.com ~Q�
)D�!|�
j+a9Ou
0��
5.该病毒通过远程指令打开一个监听端口。 I ~B�r[<&3
eWp�]$#a�
6.该病毒为在网络中传播,它会通过即时信息传播其源代码(尤其对于MSN信息)。 T^-c�ws�IT
W1?�5">3`
7.该病毒通过停止以下进程来隐藏其本身。 ���p�t=O`�
- registry editor U�E!7�E�L6
- task manager hYt�=�n�2$
(�fp0
�po"
8.该病毒通过写入以下注册表,使得本身在windows启动时候自动运行。 /ZRk�Sn~k%
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] L �af-E�fG
'indowsUpdate' = '%systemroot%\Cfreer.exe' IR&�VLhK�1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] VG9cz8{i:�
'Windows' = '%systemroot%\Nzil.exe' 7P�Y5cM �
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] {C7�. �PJ,
'SystemUpdate' = '%system%\Negdo.exe' {8kaM#
q��
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] ����tV���s
'System' = '%system%\Juegs.exe' q'b�@}%i'_
uBC�p�c}H(
受感染的系统包括: �B[��~MJ}e
-Windows 9X/ME: C:\Windows\SYSTEM g0csAx�ug
-Windows NT/2000 : C:\Winnt\System32 9�9+c$�Q"|
-Windows XP : C:\Windows\System32 V��;�NW8yA
���"D*Ev<N
Rct���^U=
!35�z=v3ji
