病毒别名:
处理时间:2005-08-10
威胁级别:★
中文名称:
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个贪婪的木马病毒。它从多种格式的文件中搜集他需要的信息,包括用户各种密码,甚至从卡巴斯基日志文件中搜索有用信息;然后分别记录到%windows%pass.log,email.log,post.log,html.log,Pstore.log,Server.log等文件中,并通过http和ftp传到指定地址,并下载新木马并运行。该病毒运行后生成%system%RFA.dll,并加载BHO,使得病毒RFA.dll随浏览器或ie浏览器一起启动;该病毒会删除自身,达到隐形。该病毒的行为对用户造成了严重的侵犯,给用户造成了严重的损失。
1,生成文件
%system%RFA.dll
2,添加注册表
HKEY_CLASSES_ROOTCLSID
HKEY_CLASSES_ROOTRFA.RFA
HKEY_CLASSES_ROOTRFA.RFA.1
HKEY_CLASSES_ROOTTypeLib
HKEY_CLASSES_ROOTInterface
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects (加载BHO,随浏览器启动)
3,生成记录文件
%windows%pass.log
%windows%email.log
%windows%post.log
%windows%html.log
%windows%Pstore.log
%windows%Server.log
等
4,会从以下文件中搜集信息
*.*ht*
*.tx*
*.pl*
*.ph*
*.asp
*.tbb
*.wab
*.adb
*.dbx
*.msg
*.oft
*.doc
*.uin
*.rtf
*.vbs
*.eml
*.xls
*.xml
5,通过ftp及http上传及下载文件