病毒介紹
病毒別名: 處理時間:2007-06-01 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
該病毒是一個下載木馬。其本身並沒對系統造成破壞,但它會下載並執行其他兩個木馬。
1、下載地址
http://**.95.146.206/winsp5.exe
http://**.95.148.188/20509.exe
2、該病毒會讀取http://**.95.146.206/loaderbb.php?l=0804&;adv=23網址內容解密下載地址。
3、20509.exe病毒會行後在系統目錄下生成ijupd.dll檔案,並添加SLSID組件添加啟動項和修改host檔案禁止相關安全網站
HKLM\SOFTWARE\Classes\CLSID\\InProcServer32
"(Default)" = "%SystemRoot%\system32\ijupd.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
"" = "DCOM Server 20509"
--------------------------------------
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 www.f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
--------------------------------------
4、winsp5.exe為一下載木馬,該病毒會訪問208.72.168.**地址和SLSID添加組件。