病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
38456
影响系统:
Win9xWinNT
病毒行为:
该病毒是Worm.Mydoom.ao释放出来,用于窃取用户的银行的帐号和密码。窃取的帐号包括:网上支付、建设银行、农业银行、招商银行、工商银行、淘宝网等,并通过电子邮件进行发给病毒的制作者。
1、病毒生成如下文件
"%System%\rplsvr.exe"(木马本身)
"%System%\systems.dll"(记录文件)
2、添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Systems"="%System%\Systems.exe"
使得病毒在计算机在启动时运行。
3、创建类名为
"Systems"
窗口名为
"jiajia"
的窗口
4、生成以下互斥量
GMKRunOnlyOne
以保证只有一个病毒进程运行
5、当前窗口名含有以下字符时
网上支付
建设银行
农业银行
招商银行
工商银行
淘宝网
淘宝旺旺
支付宝
开始记录键盘操作。
6、对于非凡按键使用以下符号替代:
[DEL]
[INS]
[DF]
[RF]
[UF]
[LF]
[HOME]
[END]
[PD]
[PU]
[SP]
[ESC]
[EN]
[TAB]
[BK]
[F12]
[F11]
[F10]
[F9]
[F8]
[F7]
[F6]
[F5]
[F4]
[F3]
[F2]
[F1]
7、将获得的密码保存在
%system%\systems.dll
中,并将记录文件发送给用病毒作者
8、systems.dll文件格式内容为:
<
2005-10-1%窗口标题%%键盘记录%
9、记录文件通过smtp.163.com服务器发送到xqq_to@163.com邮箱中
10、其发邮件使用的账号为
xqq_from
密码为
li654321
(出于安全考虑,已将此密码修改,以阻止其发用户信息)
