警惕U盘病毒ghost.pif新变种Windows.scr(2)_中国IT运维网www.cnitom.com

5.感染除系统分区外的exe文件

被感染文件被加入2092个字节的代码被感染文件创建时间被改为1620年或者1619年

被感染文件被加入的代码具备下载功能能够联网下载病毒主程序

6.由Explorer.exe连接网络

读取http://www.*.org/Data/No.txt配置文件

下载木马和病毒
http://*/Images/Hide/1.exe
http://*/Images/Hide/2.exe
http://*/Images/Hide/3.exe
http://*/Images/Hide/4.exe
http://*/Images/Hide/5.exe
http://*/Images/Hide/6.exe
http://*/Images/Hide/7.exe
http://*/Images/Hide/8.exe
http://*/Images/Hide/9.exe
http://*/Images/Hide/10.exe
http://*/Images/Hide/11.exe
http://*/Images/Hide/12.exe
http://*/Images/Hide/13.exe
http://*/Images/Hide/14.exe
http://*/Images/Hide/15.exe
http://*/Images/Hide/16.exe
http://*/Images/Hide/M2.exe
http://*/Images/Hide/smss.exe
到%Temp%文件夹
其中M2.exe为病毒主程序的最新版本（即病毒具有在线更新功能）
前面说的被感染的exe文件也是连接网络下载这个文件

其他木马植入完毕后在%System32%文件夹下生成很多wldoor0.dll类似的**door0.dll的文件
并且插入Explorer.exe和由explorer.exe启动的进程
这些**door0.dll都是盗号木马
主要盗取如下网络游戏的帐号和密码（包括但不限于）

盛大通行证的帐号密码
天龙八部
大话西游Online II
梦幻西游
完美世界
诛仙
问道
热血江湖
QQ幻想
魔域
传奇世界
魔兽世界
...

sreng日志体现如下

注册表
启动项目
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:Program FilesInternet ExplorerOnlO0r.dll>[Microsoft Corporation]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:WINDOWSsystem32mhdoor0.dll>[]
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:WINDOWSsystem32wodoor0.dll>[]
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:WINDOWSsystem32ztfree0.dll>[]
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:WINDOWSsystem32wgdoor0.dll>[]
<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:WINDOWSsystem32csdoor0.dll>[]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:WINDOWSsystem32wldoor0.dll>[]
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:WINDOWSsystem32dadoor0.dll>[]

浏览器加载项
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:Program FilesCommon FilesfjOs0r.dll, Microsoft Corporation>

[PID: 1704][C:WINDOWSExplorer.EXE][Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:Program FilesInternet ExplorerOnlO0r.dll][Microsoft Corporation, 1. 0. 0. 1]
[C:Program FilesCommon FilesfjOs0r.dll][Microsoft Corporation, 1. 0. 0. 1]
[C:WINDOWSsystem32mhdoor0.dll][N/A, ]
[C:WINDOWSsystem32wodoor0.dll][N/A, ]
[C:WINDOWSsystem32csdoor0.dll][N/A, ]
[C:WINDOWSsystem32wldoor0.dll][N/A, ]
[C:WINDOWSsystem32ztfree0.dll][N/A, ]