病毒名称(中文):
库克特
病毒别名:
Trojan-Spy.Win32.Qukart.c[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
46080
影响系统:
Win9xWinNT
病毒行为:
这是一个窃取用户银行帐号的木马病毒。该病毒使用了进程隐藏技术,一般查看进程的程序无法查看到该病毒。病毒释放一个病毒DLL文件(Win32.Troj.Padodor.6657)到系统目录,将它注册为组件,然后通过修改注册表键“ShellServiceObjectDelayLoad”来启动病毒。病毒会使用“MicroSoft-Corp”的名义要求用户向指定网址发送表单,从而窃取用户的银行ATM帐号和密码。
1.将自身复制到系统目录%System32%,改为随机文件名,同时释放随机DLL文件到系统目录%System32%,改为随机文件名。该DLL文件是病毒Win32.Troj.Padodor.6657.
该病毒使用了隐藏技术,用户很难查看到病毒进程。病毒运行之后打开IE向预定的网页提交表单。
2.修改注册表,以使病毒下次开机能够运行。
HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32@="C:\WINNT\System32\<病毒释放的DLL文件>"
HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32"ThreadingModel"="Apartment"
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"WebEventLogger"="{79FEACFF-FFCE-815E-A900-316290B5B738}"
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess"BrowseNewProcess"="yes"