病毒特征
d`6�Z<�)_Y hpV*@\Ce�b A. 该病毒从特定的网站下载其他病毒;
eR�oF��eV] O��}Xz\F8 B. 该病毒感染系统中所有的可执行程序(.EXE);
%,oTUd�rn0 xcIY&?e7VO C. 该病毒被执行之后会直接更改注册表项;
=0!k�}0^! �S~m�u%H�k ^`��hz�G%1 A64bZ@�b]S 发作症状:
'ZWdE�k_V9 LjN[�Z2;�t 1. 该病毒首次执行后会试图连接远程服务器来下载新的变种。
�$�(�FSg� 3�T[�&��)Y 访问地址:digital<…>.com
~�qN<)c|ej ZsyjlvP�&y 端口:TCP 80
QRUA�pI"�1 y0ftiv?Un{ 2. 该病毒会下载以下三类变种病毒文件
D$r8V!2[@� �J_8UO4�]^ - chii.exe: Trojan.Chiwe病毒
Kz�jA6PHG} @| 0:w�Pb^ - zupacha.exe: Trojan.PWS.Lasp病毒
0WsKV0-W�? UJ}9�� SP8 - 1.exe: Trojan.MulDrop.4593病毒
��wy!<S?MW �p<�Y��T�� 3. 当该病毒被执行后会注入恶意代码到系统所有的exe文件中,当被感染的exe文件被执行后会复制病毒文件(Rundll.exe)到以下文件夹:
gkN�03�RI� �oq�8=2"Md -Windows system folder(%System%)
N��^+rQ3�t -Windows 9X/ME: C:\Windows\SYSTEM
F�M:?F��"y -Windows NT/2000: C:\Winnt\System32
@ %s r0z83 -Windows XP: C:\Windows\System32
y�;Yqit� � nnc+�y{xuk 4. Trojan.Slime会更改注册表中的启动项:
�DI95es` k&=KH/77�� HKCR\exefile\shell\open\command] “(Default)”=” %system%\Rundll.exe “%1” %*”
�ad2�z2~'} MW�H$�Vsc� 5.如果以上启动项被删除或者修复,那么再次执行Rundll.exe文件也会重新加载该启动项,并会试图连接远程服务器下载新的病毒变种。
c�
�'�rZ� �f>J`��-�� address:
www.99<...>.net
9�WA]V82Z� hcr)Vk�Yd_ port: TCP 80
~lK��ZDXBh j�S2q:`3zT 6.从远程服务器上下载77568698.exe:文件(Trojan.PWS.Lineage病毒),从而导致系统重复感染多种病毒。
�-��PE�1uI �^��Y-B?\1 7.如果Rundll.exe文件破损或者被删除,会出现一个CMD窗口来修复该文件。
5Kh
x20�V2 {�TU;3DR
� u�<i#f6K�� g`&z2wT�&r 
