病毒大百科

这是一个木马程序变种。病毒运行后复制自身至系统文件夹，并通过修改注册表注册为系统服务，以开机自启动。病毒会加载一个无法通过任务管理器查看的隐藏的进程gdisvc.exe，但可以通过icesword查看，然后在后台尝试连接远程服务器下载大量木马安装至本地计算机，病毒还尝试收集用户网卡信息和中毒者数量。另外，该病毒利用了迅雷看看（ThunderKanKan）漏洞，会被利用来下载病毒，请广大用户小心。

1.复制自身
%commonfiles%\System\gdiserver.exe
%sys32dir%\gdisvc.exe
然后使用批处理删除自身

2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\gdisvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Gdi Server

修改注册表项
HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\InProcServer32 @ "C:\WINNT\System32\wshom.ocx" "C:\WINNT\system32\WSHom.Ocx"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\InProcServer32 @ "C:\WINNT\System32\wshom.ocx" "C:\WINNT\system32\WSHom.Ocx"

3.生成系统服务
服务名："Gdi Server"
服务描述："Provider Support for Windows Graphics Device"
映像路径："%commonfiles%\System\gdiserver.exe"

4.病毒会加载无法通过任务管理器查看的隐藏的进程，但可以通过icesword查看

5.尝试连接远程服务器下载大量木马安装至本地计算机
http://o1.o**y.com/miss/logo.gif
http://o1.o**y.com/miss/logo1.gif
http://o1.o**y.com/miss/logo2.gif
http://o1.o**y.com/miss/logo3.gif
http://www.z**.com.cn/r**.asp?id=0024000C2921944037
http://u*****1.searchnine.cn/Toolbar/schunin.exe
http://u*****1.searchnine.cn/Toolbar/windates.exe
http://u*****1.searchnine.cn/Toolbar/iexplore.exe
http://u*****1.searchnine.cn/Toolbar/scNine.dll
http://u*****1.searchnine.cn/Toolbar/Boos.dll
http://u*****1.searchnine.cn/Toolbar/version.txt
http://d**n.1024tb.com/do*****d/mu/2.3.0/b6b9fc33630db89f076ce23fb977585...
http://o1.o**y.com/m**s/logo.gif
http://o1.o**y.com/*o/top.exe
http://o1.o**y.com/k*o/xunlei.js......

6.尝试收集用户网卡信息和统计中毒者数量
http://www.h****p.com/index.htm
http://p*o.p***ria.com/P**/rialtom_cnt.php?mac=00-0c-29-21-94-40&pid=pa0...

7.该病毒利用了迅雷看看（Thunder KanKan）上漏洞
pplayer.dll 组件版本号：1.2.3.49，CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F.