BKDR_GODIN.A

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它以电子邮件消息附件的形式出现，而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

它运行远程恶意用户发送的某些命令。该操作使受感染的计算机和计算机上的信息面临更大风险。 However, as of this writing, the said sites are inaccessible.

新病毒详细信息

它以电子邮件消息附件的形式出现，而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

安装

它植入下列文件：

• %User Temp%\ctfmon.exe - also detected as BKDR_GODIN.A

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它植入下列非恶意文件：

• %User Temp%\Investment of Intermediate Range Ballistic Missile Targets.pdf
• %User Temp%\Lanl_Office_Contact_oct.pdf
• %User Temp%\US hesitant in condemning North Korean launch.pdf

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它在受感染的系统中植入下列自身副本：

• %User Profile%\Local Settings\ctfmon.exe

(注意: %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

它添加下列互斥条目，确保一次只会运行一个副本：

• CTFMON
• SYMTEC*&^@()!!!*!@&

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Symantec Update = "%User Profile%\Local Settings\ctfmon.exe"

它将下列文件植入 Windows 用户启动文件夹，以便在系统每次启动时自动执行：

• ctfmon.exe

后门例程

它执行远程恶意用户的下列命令：

• Download and execute arbitrary files
• Sleep

它将下列信息发送到其命令和控制 (C&C) 服务器:

• Computer Name
• IP Address
• Time of Infection

However, as of this writing, the said sites are inaccessible.

其他详细信息

它打开下列应用程序：

• %User Temp%\Investment of Intermediate Range Ballistic Missile Targets.pdf
• %User Temp%\Lanl_Office_Contact_oct.pdf
• %User Temp%\US hesitant in condemning North Korean launch.pdf

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)