病毒行为:
这是一个广告程序,会修改注册表中关于浏览器的数据,弹出病毒作者指定的广告页面,干扰用户的正常工作。它的部分变种可能拥有远程控制或下载器的功能。
在磁盘中释放出以下文件:
C:WINDOWSTEMP
ua0999.tmp
在注册表中创建了以下信息:
"HKCUSoftwareCNNICCdnClientUpdate"
会从以下注册表中读取信息:
"HKLMSOFTWARECNNICCdnClientUpdate"
病毒会连接作者指定的网址:
病毒会从
et.exe
域名:"dd4.t***kl.info"端口:80(TCP)
dd4.t***kl.info/not.exe
在系统中创建了以下进程:
病毒会创建了一个互斥体cdn_mutex_cdnupwin,防止重复运行
病毒尝试使用[SeDebugPrivilege]权限枚举进程
病毒尝试枚举系统进程,可能会对一些安全进程进行关闭操作
病毒会创建了一个互斥体BE1A72E48217CB38,防止重复运行
病毒会通过以下途径传播:
病毒会利用网络进行传播
本文来源:XKER病毒百科
如果您喜欢本文请分享给您的好友,谢谢!如想浏览更多更好的病毒百科内容,请登录:http://www.tootnn.com/edu/security/8/index.html