病毒大百科

病毒获取客户计算机上的C盘的盘卷序列号。

病毒通过初始化的值与获取的C盘的盘卷序列号以以下方法算出系统服务名、文件名(Exe)、文件名(Dll):
UPopWinIe -> 系统服务名
系统服务名 -> 文件名(Exe)
文件名 -> 文件名(Dll)

病毒文件(Dll)判断是否注入了包含字符串"winlogon.exe"的进程。

创建线程查找客户计算机上是否存在以下注册表项: (存在则删除)
HKEY_LOCAL_MACHINE\Software\System\CurrentControlSet\Services\ERSvc

创建系统服务,服务指向的病毒文件(Exe)带参数"-p"。

注入 explorer.exe 进程。

在客户计算机上枚举窗口,如发现QQ聊天窗口则向窗口发送指定的字符串并发送出去。

读取指定网址上的文件,获取木马下载地址并下载保存到客户计算机上保存->运行。

添加的注册表值:
注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT
名称:ReportBootOk
数据:0x00000001

总结:病毒会以指定的字符串"UPopWinIe"算出系统服务名,再以服务名算出其它文件名等。计算出来的病毒文件(包括Exe和Dll)和系统服务名都是以数字 0~9 与字母 A~F 组合的。病毒还会从获取到的木马地址下载木马程序保存到客户计算机上并运行。