病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
63566
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个贪婪的木马病毒。它从多种格式的文件中搜集他需要的信息,包括用户各种密码,甚至从卡巴斯基日志文件中搜索有用信息;然后分别记录到%windows%\pass.log,email.log,post.log,html.log,Pstore.log,Server.log等文件中,并通过http和ftp传到指定地址,并下载新木马并运行。该病毒运行后生成%system%\RFA.dll,并加载BHO,使得病毒RFA.dll随浏览器或ie浏览器一起启动;该病毒会删除自身,达到隐形。该病毒的行为对用户造成了严重的侵犯,给用户造成了严重的损失。
1,生成文件
%system%\RFA.dll
2,添加注册表
HKEY_CLASSES_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASSES_ROOT\RFA.RFA
HKEY_CLASSES_ROOT\RFA.RFA.1
HKEY_CLASSES_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477DC8}
HKEY_CLASSES_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CBF25F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}(加载BHO,随浏览器启动)
3,生成记录文件
%windows%\pass.log
%windows%\email.log
%windows%\post.log
%windows%\html.log
%windows%\Pstore.log
%windows%\Server.log
等
4,会从以下文件中搜集信息
*.*ht*
*.tx*
*.pl*
*.ph*
*.asp
*.tbb
*.wab
*.adb
*.dbx
*.msg
*.oft
*.doc
*.uin
*.rtf
*.vbs
*.eml
*.xls
*.xml
5,通过ftp及http上传及下载文件
