病毒大百科

这是一个木马下载程序。该程序图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

1.程序运行后，生成文件
C:\Documents and Settings\fish\Local Settings\History\History.IE5\MSHist012008050620080507
C:\Documents and Settings\fish\Local Settings\History\History.IE5\MSHist012008050620080507\index.dat

并且修改IE缓冲区中的文件.

2.该木马被执行后，通过API函数GetModuleFileNameA获取当前模块对应的文件名，之后依次与以下文件名：conime.exe、

internat.exe、ctfmon.exe、explorer.exe进行比较，若发现与某个文件名相同，则执行目录%systemroot%\system32\dllcache下

相同名称的程序，欺骗用户误认为是正常的系统文件；开启一线程查找窗口名为“Windows 文件保护”的窗口，若找到则通过API函

数ShowWindow将其隐藏；通过API函数URLDownloadToCacheFileA将如下网址中含有下载列表的文件下载到缓冲区，通过API函数

InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站，将多种病毒和木马程序下载到本地%temp%并运

行；破坏系统和盗取帐号信息。

3.遍历进程检测当前进程中是否存在AVP.exe，若存在则修改当前系统时间，使其不能正常运行。