病毒特征
~z8 ��^{�G {5XH��8p<5 A. 该病毒从特定的网站下载其他病毒;
Wa_S*��.PV =ds�Sm��s\ B. 该病毒感染系统中所有的可执行程序(.EXE);
�,�vL�skih ~~%asS��V� C. 该病毒被执行之后会直接更改注册表项;
�xRZ,9wH�| #%\at<"�e �]a2�]��� �<�QMZ)��9 发作症状:
�R({�m$YoW uJ[��TD`w 1. 该病毒首次执行后会试图连接远程服务器来下载新的变种。
�^��RO_��w Kzo1|k.[�� 访问地址:digital<…>.com
WZ�?xEz53V �U�$�xBz<\ 端口:TCP 80
c+�QXSEldF LP\gi��Cof 2. 该病毒会下载以下三类变种病毒文件
l�gRZ�Q>Zk IvoO"W>:�l - chii.exe: Trojan.Chiwe病毒
b#�.��tf� cc+mXr*@t{ - zupacha.exe: Trojan.PWS.Lasp病毒
/{�Z+]�dWC +��s/O$({? - 1.exe: Trojan.MulDrop.4593病毒
<0QEI�tg}l {IWYX\}V/A 3. 当该病毒被执行后会注入恶意代码到系统所有的exe文件中,当被感染的exe文件被执行后会复制病毒文件(Rundll.exe)到以下文件夹:
35�#9�B��i u����\A?CW -Windows system folder(%System%)
�|B}e���Vd -Windows 9X/ME: C:\Windows\SYSTEM
hvh��C!'HK -Windows NT/2000: C:\Winnt\System32
4�Gv
vJ-Tl -Windows XP: C:\Windows\System32
p$Z2p/;YuP ?�*��/�o:� 4. Trojan.Slime会更改注册表中的启动项:
}s|oK[-?i ?Js~6F�*fh HKCR\exefile\shell\open\command] “(Default)”=” %system%\Rundll.exe “%1” %*”
0>)f C��g# ��N*dbwH G 5.如果以上启动项被删除或者修复,那么再次执行Rundll.exe文件也会重新加载该启动项,并会试图连接远程服务器下载新的病毒变种。
T{.�%T JQ I���I�h^"� address:
www.99<...>.net
]U��[+�)1h x�yCp^9�2 port: TCP 80
Em5*K0w'\z a>A� E"�&t 6.从远程服务器上下载77568698.exe:文件(Trojan.PWS.Lineage病毒),从而导致系统重复感染多种病毒。
W?"k��t�&- y@6FV��N1 7.如果Rundll.exe文件破损或者被删除,会出现一个CMD窗口来修复该文件。
8UI@x�h�{C ]q:H_�0]�� |�a�� �tJq WWMq��*VyK 
