概述
病毒別名:TrojanProxy.Win32.Mitglieder.gen 【AVP】,W32/Bagle.dll.gen 【McAfee】,Trojan.Mitglieder.F 【Norton】處理時間:
威脅級別:★★★
中文名稱:覓麗得
病毒類型:木馬
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改:
1.建立一個名為imain_mutex的互斥體,保證只有一個進程在運行2.複製自身到%System%irun4.exe
3.建立檔案%System%system.exe和%System%iinj4.exe,這2個檔案其實是DLL檔案,只不過後綴名是EXE而已
4.將%System%system.exe和%System%iinj4.exe這2個檔案添加到視窗標題帶ShellTray_Wnd字元串的進程的地址空間中
5.在註冊表主鍵HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
添加啟動項"ssgrate.exe"="%System%irun4.exe"
以實現病毒開機自啟動
6.建立子鍵及鍵值:
HKEY_CURRENT_USERSOFTWAREDateTime
"pid"=
"uid"=
"port"=
發作現象:
特別說明:
1.該病毒嘗試使用25.97.137來實現DNS查詢2.建立在高連線埠的監聽代理,通常是17771連線埠,用來將竊取到的信息通過郵件的形式傳送給攻擊者
