病毒特征:
(AN(TH_�v$ EU;'D�<�� A. 该后门病毒由Trojan.Spambot木马衍生出来;
�;�oFE"zF� ^CQF{BE/L2 B. 该后门病毒会下载并执行其它恶意代码;
IY%1D;u�I h%dn �Ww`i C. 该后门病毒会自动插入到正常可执行程序中;
+��"
T��^\ |Zd
?=SB�* D. 该后门病毒采用RootKit技术隐藏自身。
QT%(�'g9�z DIK�_z�/eA 发作症状:
�e3A�P][LB _[i��%FZa� 1、该病毒被执行后,将自动生成并保存于下文件夹中:
(]�j��e�Qt �V7_)l�Hp~ - %System%\wincom32.sys
%d0W%5u OG - %System%\peers.ini
t#Ge�zp�H� &6�D~~!V�� ~AEN�9[i�� * 默认系统文件夹(%System%)
4\p��� z=9 - Windows 9X/ME: C:\Windows\SYSTEM\
dgH}9�.�^� - Windows NT/2000: C:\Winnt\System32\
6LC@�`I�CX - Windows XP: C:\Windows\System32\
@\W=�6Za�H #:X �=2qd� A@/=;v��%g ��;�E18�T 2、该病毒被执行后,将会自动插入到explorer.exe进程中;
;e/Y5~^�H+ ]{y�L6Z�D6 )w`7�1!��2 3、该病毒被执行后,将自动打开以下端口等待远程非法连接:
0�`z�%&/n ?2�f2Y�sB� - UDP port 4000
$I�BGf�lkd - UDP port 7871
��t\;F8<�t - UDP port 11271
IAY�~6G"Z: HT�.D^tV` 4、该病毒被执行后,将自动从以下网址中下载恶意代码:
R�S�3;�{M bFsKl��6-� -
http://217.107.217.187/game0.exe : Trojan.DownLoader.17823
D#e�t:�q
� -
http://217.107.217.187/game2.exe : Trojan.DownLoader.17823
hk _�%�H�0 -
http://217.107.217.187/game3.exe : Trojan.DownLoader.17823
K�Vd]Y1p7� -
http://217.107.217.187/game4.exe : Trojan.DownLoader.17823
,@{`s}L�F~ -
http://81.177.3.169/dir/game1.exe : Trojan.Spambot
_N5KHr>�$� *nNDS�S�{. Cd/h�W�]w� 5、该病毒将修改以下注册表项:
�uo&r0;<KK cLO�AY~O�� - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32]
��vKlF%%�t 'Display Name' = 'wincom32'
O.]�&ckXT� 'Binary Path' = '%System%\wincom32.sys'
�So�4!H�!� �rHgz ��+� ~�q�e�B?i` 受感染的系统包括:
TDq"�An4U 6|EkPOi�Mv �t �[�[V4� -Windows 9X/ME: C:\Windows\SYSTEM
1pqG(o`DH� -Windows NT/2000 : C:\Winnt\System32
�@"bL}�,+Y -Windows XP : C:\Windows\System32
"x�+uZV��r OYXo{&!P�F S��EHY�2zJ 
