病毒名称(中文):
病毒别名:
Trojan-Spy.Win32.VB.cp[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
220672
影响系统:
Win9xWinNT
病毒行为:
这是一个生成盗取按键信息的病毒生成器。该病毒通过将自身的一部分绑定到正常程序上生成的新病毒。生成的新病毒外观上也正常程序一样。生成的病毒会释放病毒文件并运行,然后在运行正常的程序,给用户一种错觉。病毒运行后将盗取用户的按键信息发送到指定的雅虎邮箱。
该病毒生成器生成的病毒文件:
1.会释放文件%system%\fixapi.exe,%system%\rsn.exe,%system%\hotkey.exe,并运行。
2.修改注册表,创建自启动服务mysvc。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mysvc
"Description"="Collectsextradatafromlocalorremotecomputersbasedonpreconfiguredscheduleparameters,thenwritesthedatatoalogortriggersanalert.Ifthisserviceisstopped,extrainformationwillnotbecollected.Ifthisserviceisdisabled,anyservicesthatexplicitlydependonitwillfailtostart."
"DisplayName"="ExtraLogsandAlerts"
"ErrorControl"=dword:00000001
"ImagePath"="%system%\rsn.exe"
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000010
HKEY_LOCAL_MACHINE\Software\Microsoft\ActiveSetup\InstalledComponents\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}"StubPath"="%system%\fixapi.exe"
其中{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}还可能为:
{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}
{M146C9B1-AMVQ-S9RC-OUFL-UDBA00B4E999}
3.记录用户的按键信息以及登陆信息,保存在%system%\kbdmy.dll,当文件大小达到一定大小,就将保存在文件中的按键信息发送给指定的雅虎邮箱。
