病毒大百科

这是一个木马后门程序。该程序会释放WMI测试程序，更改公共信息模型类、实例和方法等，启动IE浏览器从指定网址下载一些木马。

1.程序运行后，释放文件
%system32%\wbem\Repository\FS\INDEX.MAP
%system32%\wbem\Repository\FS\MAPPING.VER
%system32%\wbem\Repository\FS\MAPPING1.MAP
%system32%\wbem\Repository\FS\OBJECTS.MAP

从而达到更改公共信息模型类、实例和方法等的目的。

2.在注册表中添加了注册项，如下：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\EXE
启动项名:EXE 对应路径:%Program Files%\Common Files\System\GU.exe

3.木马会自动到指定站点下载病毒和木马：(目前网址不再可用)
http://so.s***uu.cn/s.asp?sid=1001376&key=*
http://click.p*p.cn.y**oo.com/ci_im
http://www.cl***xa.cn/setup/adClick.asp?Id=%d&WebId=%d&sDate=%s&ver=1001