概述
病毒別名:處理時間:
威脅級別:★★
中文 名稱:
病毒類型: 木馬
影響 系統:Win9x / WinNT
病毒行為:
這是一個 木馬下載器,從指定網站下載一個檔案運行。它釋放一個DLL檔案到系統臨時目錄,在後台打開IE瀏覽器,然後將該釋放的DLL檔案載入到IE進程中。病毒以IE瀏覽器的身份訪問網路並從指定網站下載一個檔案運行,以躲過病毒防火牆的盤查。1.釋放檔案%Temp%\mmdllmm.dll(UPX壓縮,長度為6248位元組,解壓後為10344位元組,病毒名為Win32.Troj.Airsupply)。
2.修改 註冊表。
添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Internat"=""
3.在病毒檔案尾部附帶了網頁檔案的地址,它將該地址寫入到釋放的dll檔案中,用來下載並運行。病毒創建進程iexplorer.exe,在WinNT系統下通過創建遠程執行緒的方式,將釋放的mmdllmm.dll注入到進程iexplorer.exe;在Win9x則載入釋放的mmdllmm.dll,並調用其導出的函式_SetHook,然後通過創建訊息鉤子的方式載入到進程iexplorer.exe中。
4.mmdllmm.dll訪問以iexplorer.exe的身份到指定網址上下載檔案並運行,使用戶感染新病毒。
