程序运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:windowssystem32internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件(公司名为Mass Effect Ntework,也许是这个公司赞助开发),以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。
程序运行时,在x:windowssystem32driver文件夹下添加一个名为mspcidrv.sys的系统驱动,向HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)
同时也向HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects下添加了该项(也许是为了掩人耳目吧)
向HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下添加了两处启动项,分别都指向c:windowssystem32.internet.exe
驱动mspcidrv.sys加载后会HOOK三个系统函数,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey viruspe.com,这样的话,删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。
