病毒行为:
这是一个由VB语言所写的感染型捆绑器程序。它能够将病毒程序捆绑到正常的文件上,进入电脑后就释放出病毒。它所携带的病毒是个远程木马,具有欺骗能力,会试图欺骗用户关闭自己的防火墙。
1.病毒伪装为微软文件,附带如下版权信息.
备注:MicrosoftHotFixes
产品版本:5.04.0103
产品名称:MicrosoftHotFixes
公司:MicrosoftCorporation
合法商标:MicrosoftHotFixes
内部版本:Installer94
源文件名:Installer94.exe
病毒内存在字符串Awsotr_Auto_Infect_And_Icon_Changer。
2. 病毒释放文件至%WindowsDirectory%\A__rd.exe执行,并将需要榜定的文件以及图标释放至c:\msasn1目录下,文件为:BProtect.Axv,BProtect.exe,mqperf.exe,msidntld#.exe,Set1.Ico文件,并在执行过程中不断变化图标文件。
3.病毒搜索磁盘中文件,并将需附加部分附加于搜索到的.exe文件前方,以及图标文件组合为新文件。
4.被感染文件被执行时,释放绑定的病毒文件并执行。病毒并不会释放以及执行原文件。
5.病毒捆绑部分为木马程序,伪装为微软防火墙程序,病毒中存在如下字符串:
这个磁盘正受到微软防火墙的保护
如果其它反病毒软件阻止了微软防火墙的运行请关闭其它杀毒软件并
我们建议您只运行微软防火墙
来代替其它反病毒配置以获得更高的兼容性等...
病毒文件伪装为微软文件,并附带如下版权信息:
备注:MicrosoftFirewallInstaller12thEdition
产品版本:1.01.0040
产品名称:MicrosoftFirewallInstaller
公司:XCMicrosoft
合法商标:MicrosoftFirewallInstaller
内部名称:FirewallN39
源文件名:FirewallN39.exe
