病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
176128
影响系统:
Win9xWinNT
病毒行为:
这是一个用VB编写的木马病毒。该病毒会修改JPG文件关联到病毒程序,并修改JPG文件显示的图标。病毒由于编写上的缺陷并没有释放该文件,导致无法正常打开JPG文件。病毒还生成Wininit.ini,用来将病毒副本替换掉病毒文件,以防止被删除。病毒会关闭常见的安全软件,如天网防火墙等,然后打开后门端口51984和1028等待黑客连接。病毒还会记录用户的按键信息以及对应的窗口标题,保存在本地硬盘中,当记录的信息达到一定大小的时候再发送到指定的邮箱。
1.将自身复制为:%SystemRoot%\Internet.exe,%System%\EtHorse.dll,并释放文件%System%\MSWINSCK.OCX(VB的winsock控件,病毒运行需要此文件);
生成文件%SystemRoot%\Wininit.ini,文件内容为:
[rename]
C:\WINNT\Internet.exe=C:\WINNT\System32\EtHorse.dll
C:\WINNT\System32\Image.exe=C:\WINNT\System32\EtImg.ocx
用病毒副本替换当前的病毒文件。
生成文件%SystemRoot%\EhKey.dll,该文件是文本文件,文件内容是病毒记录的窗口信息以及用户的键盘记录。
2.修改注册表,将自身添加到自启动项,修改JPG文件关联到病毒程序(病毒并没有释放该关联程序,导致无法正常打开JPG文件),修改JPG文件显示的图标。
添加键值:
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command"默认"="C:\WINNT\Internet.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run"Internet"="%SystemRoot%\Internet.exe"
HKCR\.jpg"默认"="Internet.jpg"
HKCR\Internet.jpg"默认"="JPEGImage"
HKCR\Internet.jpg\Shell\Open\Command"默认"="C:\WINNT\System32\Image.exe%1"
HKCR\Internet.jpg\DefaultIcon"默认"="C:\ProgramFiles\InternetExplorer\iexplore.exe,8"
HKCR\Internet.jpg"openFile"="jpegfile"
HKCR\exefile\shell\open\command"默认"=""%1"%*"
3.关闭一些常见的安全软件,如天网防火墙,金山网镖等。
4.打开后门端口51984和1028,等待木马种植者的连接。
5.记录用户的按键信息以及对应的窗口标题,保存在文件%SystemRoot%\EhKey.dll中,然后发送到指定的邮箱。
