病毒特征
�Aja,~ 94� f:�2Ay�<f5 A. 该病毒从特定的网站下载其他病毒;
�.J;lj"#v� m��o5J`5|z B. 该病毒感染系统中所有的可执行程序(.EXE);
�L$]�%�Ap� ^���(bseRT C. 该病毒被执行之后会直接更改注册表项;
1hE7YXn�wf �TY+?-QI@m N/C
s.�bfg aHX�AUL].j 发作症状:
o7gea�w'�J ��0j�S%2 s 1. 该病毒首次执行后会试图连接远程服务器来下载新的变种。
"�y�<��/C{ pw�t:s&r~@ 访问地址:digital<…>.com
CIQ��A�[:a @#���|q/ 端口:TCP 80
B�^GsYw��& ��},��|QM 2. 该病毒会下载以下三类变种病毒文件
�%z".�BmrQ M�e��cOYv! - chii.exe: Trojan.Chiwe病毒
MW+$&�I�]� )GB �z�F}� - zupacha.exe: Trojan.PWS.Lasp病毒
og=#vY=+?5 S
d\�X^�; - 1.exe: Trojan.MulDrop.4593病毒
o+p7p�|*�S 5>4���JYq0 3. 当该病毒被执行后会注入恶意代码到系统所有的exe文件中,当被感染的exe文件被执行后会复制病毒文件(Rundll.exe)到以下文件夹:
1�x�Mt�.Q0 D#{�>!<6~� -Windows system folder(%System%)
Tr+}g�d#N� -Windows 9X/ME: C:\Windows\SYSTEM
�}!\q�,f* -Windows NT/2000: C:\Winnt\System32
� b�~oi[�f -Windows XP: C:\Windows\System32
A�V[srSAeB �3Vi{%:~}� 4. Trojan.Slime会更改注册表中的启动项:
2"�,"jl� � �4V-dJ(1�9 HKCR\exefile\shell\open\command] “(Default)”=” %system%\Rundll.exe “%1” %*”
6omT:�qO.� {hUu,r]��b 5.如果以上启动项被删除或者修复,那么再次执行Rundll.exe文件也会重新加载该启动项,并会试图连接远程服务器下载新的病毒变种。
Sy�+��l^r� zi8)�BqiQv address:
www.99<...>.net
T#�-B3A+Y^ lW~�����0w port: TCP 80
n� �/^`=8: yIZX;n\3F( 6.从远程服务器上下载77568698.exe:文件(Trojan.PWS.Lineage病毒),从而导致系统重复感染多种病毒。
I ??� G��l S(�X�Ty�fm 7.如果Rundll.exe文件破损或者被删除,会出现一个CMD窗口来修复该文件。
kmdtlmZ|!% ?b�6(nY)e� Hd�^ga?G�� v{IfN�*#&L 
