病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
45200
影响系统:
Win9xWinNT
病毒行为:
该病毒是一个木马病毒。用户执行后,在系统目录下拷贝自身为SVCH0ST.EXE,并将属性设为系统文件并隐藏,然后执行系统目录下的病毒文件,删除原目录中副本,以达到隐藏自身的目的。该病毒的主要危害是盗取用户各种密码,并邮寄到指定邮箱,极大地侵犯了用户的隐私,损害了用户的利益。
1,生成文件
%system%\SVCH0ST.EXE(病毒可执行文件,注重类似svchost.exe)
%system%\mmdat.dat(初期记录原病毒文件,自己会删除掉)
%system%\ntdll32.dll(病毒文件,注重区别ntdll.dll)
%system%\wdata32.dll(病毒记录密码的文件)
2,添加注册表
HKCR\exefile\Shell\Open\command
"默认"="%system%\SVCH0ST.EXE%1%*"(关联exe文件,使用户执行程序时执行病毒文件)
HKLM\Software\Microsoft\windows\CurrentVersion\RunServices
"SVCHOST"="%system%\SVCH0ST.EXE"(添加启动项,以服务形式自启动)
3,病毒行为
通过查找"password"等字符串,盗取用户密码,并寄往指定的邮箱。