病毒分析:
(1)读取并解密自己配置信息
(2)复制自身到%SystemRoot%\system32\svhost.exe
(3)注册服务,启动病毒
(4)创建IEXPLORE.EXE进程,把病毒代码注入进程
(5)创建批处理文件删除自身
(6)尝试连接黑客主机
病毒创建文件:
%SystemRoot%\system32\svhost.exe %SystemRoot%\uninstal.bat
病毒删除文件:
%SystemRoot%\uninstal.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn
病毒创建进程:
IEXPLORE.EXE
病毒访问网络:
sst12418***2.vicp.cc:50
本文来源:天下网盟 作者:佚名