这东东,应该会自我更新的。061209就是它的对应版本。
我新年之际刚好拿到新样本,不过这次是mplay.com。
我拿到的这个还会修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
AutoRun键的值修改为d:\mplay.com
这样一运行CMD的同时就会运行mplay.com
另外,样本是Delphi写的,呵呵。
这东西会尝试结束KV进程,绕过瑞星的IE执行保护和卡巴的主动防御提示。
更多的分析见我的blog文章
http://hi.baidu.com/yicong2007/blog/item/bc46c13f51a821c27c1e716f.html
PS:刚拿到的时候就觉得眼熟,原来是猫叔分析过,呵呵。
