TrojanProxy.Mitglieder.b

TrojanProxy.Mitglieder.b經UPX壓縮的代理木馬程式，下載木馬程式。

傳播過程及特徵：

1.複製自身：

%system%\system.exe

2.修改註冊表：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run]

"ssgrate.exe" = %System%\system.exe

3.結束下列進程：

ATUPDATER.EXE

AVWUPD32.EXE

AVPUPD.EXE

LUALL.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

UPDATE.EXE

NUPGRADE.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

MCUPDATE.EXE

NUPGRADE.EXE

4.連線下列站點並通告攻擊者：

5.在感染的計算機上開放後門連線埠39999，在此接收攻擊者發出的指令。

6.從特定的站點下載盜取密碼的木馬檔案，並存儲為%Windir%SAGEBOX.EXE：

註：%Windir%為變數，一般為C:\Windows 或 C:\Winnt；

%System%為變數，一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),

或 C:\Windows\System32 (Windows XP)。