基本介紹
- 中文名:Win32.WizardBoy.d
- 類別:病毒
- 威脅級別:二星
- 類型:黑客程式
處理時間,威脅級別,病毒類型,影響系統,病毒行為,
處理時間
2007-01-26
威脅級別
★★
病毒類型
Win32病毒
影響系統
Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1、釋放病毒本體到C:\Program Files\Internet Explorer\icwtutor.com,並釋放病毒dll檔案到C:\Program Files\Internet Explorer\PLUGINS\nppd32.dat
若含有被感染後的檔案,則創建正常檔案的進程並運行。
2、添加如下註冊表項:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer Server"="C:\Program Files\Internet Explorer\icwtutor.com"
3、啟動IE進程,將病毒檔案nppd32.dat注入IE進程,從如下網址讀取病毒下載地址,下載病毒,該網址是加密的。
hxxp://www.04080.com/vip/1.txt
解密後的病毒地址如下,為多種網路遊戲木馬:
http://www.04080.com/vip/mhxy.exe
http://www.04080.com/vip/gezi.exe
http://www.04080.com/vip/huaxia.exe
http://www.04080.com/vip/wlwz.exe
http://www.04080.com/vip/mlbb.exe
http://www.04080.com/vip/datang.exe
4、遍歷本地磁碟,搜尋所有.exe,.scr為擴展名的檔案,並感染。
5、嘗試通過區域網路寫\\C$\\AutoExec.bat傳播自身。
