VBS.Iframe.np.934

核心提示：病毒名称(中文):屏保伪装脚本934病毒别名:威胁级别:★☆☆☆☆病毒类型:木马程序病毒长度:838影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个远程控制木马，它是个脚本文件，VBS.Iframe.np.934，会伪装成屏幕保护程序，欺骗用户放松警惕

病毒名称(中文): 屏保伪装脚本934
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 838
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个远程控制木马。它是个脚本文件，会伪装成屏幕保护程序，欺骗用户放松警惕，然后将用户电脑与黑客的远程服务器连接。

在磁盘中释放出以下文件:
C:
C:\WINDOWS
C:\WINDOWS\[vs63www.ai***8.net(1f')].chm
C:\WINDOWS\12.exe

会从以下注册表中读取信息:
"HKCU\Software\FlySky\E\Install"

病毒会连接作者指定的网址:
域名:"ba**r.q**v.org"端口:32321(TCP)

在磁盘中创建以下配置文件:
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "RTL" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field1] "Text" "C:\WINDOWS\TEMP\nss8099.tmp\modern-wizard.bmp"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "NumFields" "3"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "NextButtonText" ""
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "CancelEnabled" ""
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "Text" "WelcometotheHappyEaster!ScreensaverSetupWizard"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "Bottom" "48"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "Top" "55"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "Bottom" "185"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field1] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "State" "0"

在系统中创建了以下进程:
病毒尝试打开CLSID为{0000002C-5994-0005-C058-00433C3B4000}的组件
病毒尝试打开CLSID为{0000002C-5994-0005-9E63-00433C3B4000}的组件
"012.exe"
"setup1469.exe"
"IeLockerInst_25.exe"
"dodolook040.exe"
"SetupDll1000.exe"