病毒名称:
Trojan.CheckIE.enc
类别: 木马病毒
病毒资料:
破坏方法:
该病毒是一个通过监视IE、盗取用户信息并能将盗取的信息通过邮件发送出去的木马;
病毒采用UPX压缩,Delphi编写;
一旦执行病毒将:
1.自我复制到系统目录:
%SYSDIR%\user32.exe
同时释放一个DLL文件:MSlib32.Dll - 这是病毒的IE监视的模块
创建一个文件:mssdk32.dll - 这是病毒监视IE时使用的过滤字符文本
2.修改注册表来自启动:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"shell" = "EXPlorer.exe %SYSDIR%\user32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"User Mansger" = "user32.exe"
3.病毒将盗取的信息通过自己构建的SMTP发送。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-9