1.病毒运行后,会释放如下副本:
C:\WINDOWS\system\BoBoTurbo.exe
C:\WINDOWS\system32\BoBoTurbo.exe
C:\WINDOWS\system\soundmno.exe........
C:\WINDOWS\system\00003.exe
C:\WINDOWS\system\00004.exe
C:\WINDOWS\system\00005.exe
C:\WINDOWS\system\00006.exe
C:\WINDOWS\system\00007.exe
C:\WINDOWS\system\00008.exe
C:\WINDOWS\system\00009.exe
C:\WINDOWS\system\00016.exe
C:\WINDOWS\system\00017.exe................
在每个磁盘分区根目录下释放XP.EXE ntldr.exe和autorun.inf达到通过移动存储传播的目的
2.创建注册表启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。
3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。
(与之前病毒变种相同)
4.感染exe文件 并跳过部分exe文件
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
360tray.exe
修复工具.exe
5.劫持
病毒运行后将会劫持以下程序
360tray.exe
修复工具.exe
AV.EXE
AR.exe
等个大杀毒软件的进程。
浏览器将会被劫持。建议使用360安全卫士。
(与之前病毒变种相同)
和某些文件夹中的文件
windows
winnt
recycler
system volume information
Common Files
Internet Explorer
Windows NT
并跳过感染有exe文件中有ani区段的文件
被感染文件尾部被加入一个名为.ani的节。
5.连接网络下载木马
读取http://*:1433/xin.jpg的下载列表
然后下载exe">http://*:1433/mylm.exe
exe">http://*:1433/mhlm.exe
exe~http://l.6u6.biz/00010.exe">http://l.6u6.biz/00001.exe~http://l.6u6.biz/00010.exe
exe~http://*:1433/00014.exe">http://*:1433/00011.exe~http://*:1433/00014.exe
到%systemroot%\system下面
并以SYSTEM128.tmp作为下载文件过程中的临时文件
6.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息 并把信息发送给指定地址
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=ntldr.exe
shellexecute=ntldr.exe
shell\打开(&O)\command=ntldr.exe...