病毒大百科

这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹，并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址，并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下。

(1)病毒释放文件，然后使用DeleteFileA删除自身
%sys32dir%\0004bb58.inf
%sys32dir%\{随机文件名}.dll（如byhfjm.dll）
%sys32dir%\{随机文件名}.KEY（如byhfjm.KEY）
%sys32dir%\{随机文件名}.sco（如byhfjm.sco）
%sys32dir%\drivers\{随机文件名}.sys（如byhfjm.sys）

(2)病毒增加注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb

(3)病毒尝试添加一个系统服务rtltvb
服务名：rtltvb
描述：Microsoft .NET Framework TPM
显示名称：rtltvb
映像路径：%sys32dir%\svchost.exe -k rtltvb
启动类型：自动

(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址，并记录至{随机文件名}.pro（如byhfjm.pro）
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"
"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer {代理地址}"

(5)病毒尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下
0**205.k**p.net（2**.2*7.17.2*6）