样本来源：http://bbs.vc52.cn/thread-45451-1-1.html

文件: scan.exe
大小: 186368 字节
MD5: 84A4E02300E45245660E2EABAF71F234
SHA1: 60515827DE6AC18DABB8020CFF0FED960CE3D2BF
CRC32: 4E582823

利用VirtualProtect函数将代码注入其他进程（从0xB10FDF处）;

释放文件副本：
%userprofile%\Local Settings\Temp\.tt1.tmp
%userprofile%\Local Settings\Temp\.tt1.tmp.vbs
%userprofile%\Local Settings\Temp\.tt3.tmp
%windir%\system32\blphcltaj0enee.scr
%windir%\system32\lphcltaj0enee.exe
%windir%\system32\phcltaj0enee.bmp;

添加注册表启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,lphcltaj0enee指向“%windir%\system32\lphcltaj0enee.exe”;

修改注册表：
HKEY_CURRENT_USER\Control Panel\Desktop,SCRNSAVE.EXE修改其值为“%windir%\system32\blphcltaj0enee.scr”;

添加注册表：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispBackgroundPage其值为“00000001”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispScrSavPage其值为“00000001”
HKEY_CURRENT_USER\Control Panel\Desktop,ScreenSaveActive
HKEY_CURRENT_USER\Control Panel\Desktop,ScreenSaveTimeOut
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver,EulaAccepted;

调用WScript.exe并修改其内存运行"%userprofile%\Local Settings\Temp\.tt1.tmp.vbs"创建inproc COM服务器;

查询RASMAN服务状态出站TCP访问以下IP:
207.46.18.94
77.244.220.134
218.106.90.227;

反复修改文件：
%userprofile%\Local Settings\Temp\.tt3.tmp;

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

楼主的文件已收集，请等待后续回复。

文件名：scan.exe

病毒名：AdWare.Win32.Mnless.amy


您所上报的病毒文件将在20.67.11版本中处理解决，如遇特殊情况可能会推后几个版本。