威胁级别:★
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个盗号木马。该病毒盗取雅虎通、MSN、GASH等帐号密码,并将盗取的帐号密码以邮件发送给盗号者。建议电脑用户升级病毒库查杀该病毒,以免中毒造成损失。
1、生成的文件
C:WINNTsystem32hs4viewer.dll
C:WINNTavp.exe
2、添加驱动
HKLMSystemCurrentControlSetServicesWS2IFSL
"Type" = "0x1"
HKLMSystemCurrentControlSetServicesWS2IFSL
"Start" = 0x2"
HKLMSystemCurrentControlSetServicesWS2IFSL
"ImagePath" = "SystemRootSystem32driversws2ifsl.sys"
HKLMSystemCurrentControlSetServicesWS2IFSL
"DisplayName" = "Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"
3、添加伪系统服务
HKLMSystemCurrentControlSetServicesVGADown
"Type" = "0x10"
HKLMSystemCurrentControlSetServicesVGADown
"Start" = "0x2"
HKLMSystemCurrentControlSetServicesVGADown
"ImagePath" = "C:WINNTavp.exe"
HKLMSystemCurrentControlSetServicesVGADown
"DisplayName" = "Audio Adapter"
4、修改SPI,其DLL路径为C:WINNTsystem32hs4viewer.dll。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries�00000000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries�00000000001
5、在系统目录下生成delplme.bat批处理文件实现自删除。
