病毒名称(中文):
透视眼
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
371701
影响系统:
Win9xWinNT
病毒行为:
该病毒会盗取用户重要信息(如QQ密码等),查找用户的地址信息IP地址及地理位置,并且会记录用户的键盘活动,远程抓图,远程录音.窃取用户QQ聊天记录等等.
1.生成文件:
%SystemDir%\IsUn0404.exe
%SystemDir%\IsUn0804.exe
%SystemDir%\services.exe
%SystemDir%\AUTOEXEC.BAT
%SystemDir%\BOOTEX.LOG
2.修改文件:
%System%\logon.scr
%System%\scrnsave.scr
%System%\ss3dfo.scr
%System%\ssbezier.scr
%System%\ssflwbox.scr
%System%\ssmarque.scr
%System%\ssmaze.scr
%System%\ssmyst.scr
%System%\sspipes.scr
%System%\ssstars.scr
%System%\sstext3d.scr
%System%\频道屏幕保护程序.scr
3.修改防火墙规则,逃避防火墙的阻拦.
4.添加注册表起始项,使病毒开机运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
internet
"C:\WINNT\system\services.exe"
5.修改文件关联:
txt关联:
HKCR\txtfile\shell\open\command
@
"C:\WINNT\system\services.exe""%1"
HKLM\SOFTWARE\Classes\txtfile\shell\open\command
@
"C:\WINNT\system\services.exe""%1"
6.修改屏保设置:
屏保:
HKCU\ControlPanel\Deskto
ScreenSaveActive
1
HKCU\ControlPanel\Deskto
ScreenSaveTimeOut
60
HKCU\ControlPanel\Deskto
SCRNSAVE.EXE
C:\WINNT\System32\sstext3d.scr
7.修改注册表:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance\Folder\Hidden\SHOWALL
CheckedValue
00000001
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance\Folder\Hidden\NOHIDDEN
CheckedValue
00000002
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance\Folder\Hidden\SuperHidden
CheckedValue
00000000