5、 在%system32%oobe目录下利用DOS命令行方式:CMD /C MD C:WINDOWSsystem32oobe�ak.创建一个windows下删不掉的文件夹命为:“bak..”,将%Temp%临时文件夹TBHAILYFXYV.zbc文件,利用命令行方式:CMD /C COPY C:DOCUME~1aLOCALS~1TempTBHAILYFXYV.zbc
C:WINDOWSsystem32oobe�ak..Outputbat.txt /Y拷贝到%system32%oobe�ak.目录下,命名为:Outputbat.txt,作为作为病毒代码的备份。
6、遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc(随机病毒名), 将文件时间值转换成DOS日期和时间值,并在临时目录下创建一个后缀以TBHAILYFXYV.EXE同名的文件,获取MZP头以命令行方式:""%s" -p"%s" -o- -s -d"%s将病毒打包成自解压文件并设置密码为:“logved*log;7^5#;tvn”
7、在DOS下使用命令行:C:DOCUME~1aLOCALS~1TempKHOANEHWQPR.exe" -p"logved*log;7^5#;tvn" -o- -s -d"C:DOCUME~1aLOCALS~1Temp解压文件install.exe,并以命令行方式启动该文件, 在%system32%oobe目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象,病毒文件并创建 一个名以5046(4位随机数字的目录)并释放一个病毒文件svchost.exe到该目录下,创建该病毒进 程,该文件用来定时隐藏打开大量的网页地址,执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除,最后创建$$30689.bat批处理文件删除病毒原文件
连接以下网址统计病毒安装情况,并顺序隐藏打开大量病毒预定好的网址:
http://www.ww****.cn/usersetup.asp?
action=027B04E05BE9C3AD11EFF8364C0F7008436CB1B5107441BBC136545931684A0BD
F4DD741245DB1256C8ADF1A18A827E643FB175282FC3D4B