病毒特征:
�9UIc�(U1� ���BSa��U. A. 该后门病毒由Trojan.Spambot木马衍生出来;
(RB��Cp� 0wrqm9:3�� B. 该后门病毒会下载并执行其它恶意代码;
3;~tc"�"> �QQ$Yv6H�/ C. 该后门病毒会自动插入到正常可执行程序中;
a'%Bfd�3�b T~�0�H<v1 D. 该后门病毒采用RootKit技术隐藏自身。
�lR�Sa7��M �e>1�1R5�� 发作症状:
,rZ1/H�,=G _+ 8gT$kzk 1、该病毒被执行后,将自动生成并保存于下文件夹中:
�U�k|�V�!� &")c��s|k - %System%\wincom32.sys
�oa��f��Co - %System%\peers.ini
`2Df.-*<�W �2Bl�lMA0� D RT F�[^H * 默认系统文件夹(%System%)
4K%,eHc6j - Windows 9X/ME: C:\Windows\SYSTEM\
Q)���-XA}: - Windows NT/2000: C:\Winnt\System32\
/,_A�FSuS - Windows XP: C:\Windows\System32\
TL6�vW��RB �N^X�]�_�8 l�P !�P�0n h1-FC'��C� 2、该病毒被执行后,将会自动插入到explorer.exe进程中;
z�D0� 4?�g NDoUF>`�LI T%87)�tD�H 3、该病毒被执行后,将自动打开以下端口等待远程非法连接:
z,�!,L%Z�� /C\�Q[�!am - UDP port 4000
33rV9
o!#> - UDP port 7871
7Rq+$O<�K� - UDP port 11271
d�s)� ��M =T>Y��D�6+ 4、该病毒被执行后,将自动从以下网址中下载恶意代码:
I[1G\�#�"# n8?u(ZC|t/ -
http://217.107.217.187/game0.exe : Trojan.DownLoader.17823
J-��2)@
( -
http://217.107.217.187/game2.exe : Trojan.DownLoader.17823
�>pwK#9=�T -
http://217.107.217.187/game3.exe : Trojan.DownLoader.17823
rZdH.�c4#~ -
http://217.107.217.187/game4.exe : Trojan.DownLoader.17823
�z��BYJB�� -
http://81.177.3.169/dir/game1.exe : Trojan.Spambot
-�^^?#}7�K ��6Ul�$z}j nw&�U� n%` 5、该病毒将修改以下注册表项:
P!jc�6J�@5 ��9d�BX1YY - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32]
XI�cioJ�{% 'Display Name' = 'wincom32'
"cx���4C&g 'Binary Path' = '%System%\wincom32.sys'
Z�k/o��nec >4ey+�q�f" F�Yr"<��3b 受感染的系统包括:
X�A'YEGXI( �Cg���g�s �<�}x�/r|* -Windows 9X/ME: C:\Windows\SYSTEM
�
���"Yo)f -Windows NT/2000 : C:\Winnt\System32
b/�{k,H�yb -Windows XP : C:\Windows\System32
ft�xCS*�E� �c"0yIm=�w Jo�VCjwPk 
