病毒名称:
Worm.Win32.Bizex.enc
类别: 蠕虫
病毒资料:
破坏方法:
一个利用ICQ进行传播的蠕虫病毒。
病毒行为:
该病毒运后将自己复制到%system%\sysmon目录下,文件名为:sysmon.exe
并在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersion中加入自己的键值:sysmon
病毒释放两个名为Java32.dll及javaext.dll的文件。(为病毒的Hook模块)对用户进行监视,对特定窗口进行密码盗取。
病毒体内包含的窗口文本:
SUNCORP METWAY
VeriSign Partner Manager
VeriSign Personal Trust Service
Commercial Electronic Office Sign On
Wells Fargo - Small Business Home Page
Merchant Administration
American EXPress UK - Personal Finance
Secure User Area
Barclaycard Merchant Services
Collegamento a Scrigno
E*TRADE Log On
e-gold Account Access
baNK
.....
病毒将盗取的用户密码,账号等信息记录在以下文件中。并把它们上传到一个特定的FTP网站。
~pass.log,~key.log,~post.log
ICQ传播:
病毒结束当前系统的ICq进程并利用Icq的SDK对当前用户的联系人发送信息。
“http://***www.####w##d.b##/index.Html”该网页下载一个病毒文件meine.scm,该文件利用icq漏洞执行代码并生成几个病毒文件。其中WinUpdate.exe为一个下载器,它将从特定网站上下载病毒并执行。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-25
