Win32.Troj.VB.cp

王朝vb·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

Trojan-Spy.Win32.VB.cp[AVP]

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

220672

影响系统:

Win9xWinNT

病毒行为:

这是一个生成盗取按键信息的病毒生成器。该病毒通过将自身的一部分绑定到正常程序上生成的新病毒。生成的新病毒外观上也正常程序一样。生成的病毒会释放病毒文件并运行,然后在运行正常的程序,给用户一种错觉。病毒运行后将盗取用户的按键信息发送到指定的雅虎邮箱。

该病毒生成器生成的病毒文件:

1.会释放文件%system%\fixapi.exe,%system%\rsn.exe,%system%\hotkey.exe,并运行。

2.修改注册表,创建自启动服务mysvc。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mysvc

"Description"="Collectsextradatafromlocalorremotecomputersbasedonpreconfiguredscheduleparameters,thenwritesthedatatoalogortriggersanalert.Ifthisserviceisstopped,extrainformationwillnotbecollected.Ifthisserviceisdisabled,anyservicesthatexplicitlydependonitwillfailtostart."

"DisplayName"="ExtraLogsandAlerts"

"ErrorControl"=dword:00000001

"ImagePath"="%system%\rsn.exe"

"ObjectName"="LocalSystem"

"Start"=dword:00000002

"Type"=dword:00000010

HKEY_LOCAL_MACHINE\Software\Microsoft\ActiveSetup\InstalledComponents\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}"StubPath"="%system%\fixapi.exe"

其中{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}还可能为:

{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}

{M146C9B1-AMVQ-S9RC-OUFL-UDBA00B4E999}

3.记录用户的按键信息以及登陆信息,保存在%system%\kbdmy.dll,当文件大小达到一定大小,就将保存在文件中的按键信息发送给指定的雅虎邮箱。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航