技术特征:
该病毒是一个Windows 32木马,利用了Microsoft虚拟机的一个安全漏洞。此漏洞可让恶意脚本访问用户机器上安装的任何ActiveX控件。有关此漏洞的补丁可到微软站点下载:http://support.microsoft.com/support/kb/articles/Q275/6/09.ASP。
此木马病毒由许多组件构成,包括DOS可执行COM程序、Win32 PE程序,以及带有Visual Basic及Java脚本的JS及HTML文件。另外,它还会创建一些临时的BAT及文本文件。
假如未安装上述补丁的用户浏览了一个含有恶意脚本的特殊站点,则此木马会生成两个文件到本地磁盘。一个是DOS程序“a.com”,在TMP目录下,另一个是“zshell.js”创建在用户的Cookies文件夹内。随后病毒会执行第二个文件。执行后,它创建并运行临时BAT脚本“a.bat”。该批处理脚本执行程序 “a.com”,执行完后将其删除,并且删除批处理脚本本身。
“a.com”运行后,它会解码、解压并生成一个叫“netd.exe”的Win32 PE程序。木马利用此程序来执行它所有的Internet通信,如下载文件或发送邮件等。而“netd.exe”利用“i.js” 作为其变量的一个输入文件,且执行完命令后输出“o.js” 文件。
最后,运行“zshell.js”中的代码,以下载并执行另一个脚本 “install.php”。该脚本下载运行后会将木马的主程序安装在本地机器。为了在下次启动时木马能自动运行,它会修改注册表:
HKLMMicrosoftWindowsCurrentVersionRunTime Zone Synchronization = “wscript%Cookies%zshell.js”
HKCUMicrosoftWindowsCurrentVersionRunTime Zone Synchronization = “wscript%Cookies%zshell.js”
另外,木马会生成一个HTML文件,该文件含有能激发“zshell.js” 的代码,并且会注册到以下注册表中:
HKLM MicrosoftInternet ExplorerAboutURLsPostNotCached = “%Cookies%
epost.html”
木马的主程序会识别并执行10个基本命令:EXIT, NOBREAK, SETCMDURL, RUN, SENDMAIL, UPDATE, ALERT, SLEEP, SENDCONFIRM, RUNTHESELF。
