病毒名称(中文):
跟踪者2000
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
189
影响系统:
Win9xWin2000WinXPWin2003
病毒行为:
编写工具:Delphi,ASPack2.11压缩
传染条件:被动安装
发作条件:可以设置跟踪者是否自启动。有两种方式:一种为注销或以新用户登陆时运行该软件(但在登陆后方能运行);另一种为只有在开机或新启动计算机时运行,当注销或以新用户登陆时不能启动软件。两种方式一起使用可记录网络登陆时的用户名和密码。
系统修改:由于该病毒有丰富的设置功能,所以对于系统的修改也是不固定的,无法一一列出
发作现象:运行时驻留内存,可用快捷键来激活窗口,并且可以设定登陆口令;运行该软件后,程序将驻留内存,时刻记录着键盘的一举一动,同时可以定时记录,并控制软件运行时间、启动热键和存储文件路径以及保护软件运行等多项功能,随时可以浏览记录,并可以通互联网过将记录文件发送给安装者。软件运行无任何反应,在1秒钟内连续按Ctrl+F12两次,即可唤醒用户登陆窗口,初始口令为888,进入该软件设置。该木马软件还采取了许多隐藏自己的措施来保护其不被非法中止:
1.设置文件关联,关联类型中TxtFile为关联文本文件;ExeFile为关联可执行文件。当关联后每运行文本文件或可执文件时都检测跟踪者是否运行,若不运行则自动运行跟踪者;
2.更改跟踪者的图标,使跟踪者更具灵活性和隐蔽性。软件固化了七种常见的图标(默认图标、文本图标、DLL图标、文件夹图标、IE图标、系统图标、系统默认图标),还也可以选择其它图标;
3.当通过Email的文式将跟踪者发送给别人时,运行后可以自动创建跟踪者的副本。选中“自动复制跟踪者到”复选框,它包含以下四种路径:WINDOWS目录、系统目录、回收站、缓存文件夹。当复制到回收站或缓存文件夹时具有文件隐藏功能,打开回收站发现无跟踪者,但实际上已经存在。
非凡说明:
