病毒大百科

这是一个黑客程序。它进入系统后会建立后门，悄悄连接病毒作者指定的远程服务器，帮助病毒作者非法控制用户电脑。

在磁盘中释放出以下文件:
C:\WINDOWS\TEMP\yxa0999.tmp

在注册表中创建了以下信息:
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname"

在注册表中设置了以下信息:
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname" "ImagePath" "C:\WINDOWS\SYSTEM32\c:\sample.exe"
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname" "DisplayName" "pangu_service_display"
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname" "Description" "pangu_service_description"

会从以下注册表中读取信息:
"HKLM\SYSTEM\CurrentControlSet\Services\pangu_service_svcname"

病毒会连接作者指定的网址:
域名:"fei******888.3322.org" 端口:6655 (TCP)

在系统中创建了以下进程:
病毒尝试枚举系统进程，可能会对一些安全进程进行关闭操作
"sample.exe"

在系统中创建了以下服务:
服务名: "pangu_service_svcname (pangu_service_display)"
映像路径: "C:\WINDOWS\SYSTEM32\c:\sample.exe"

病毒会利用网络进行指令传输