病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
14901
影响系统:
Win9xWinNT
病毒行为:
这是一个传奇木马,病毒运行后会释放一个dll文件作为服务端,病毒本体通过调用服务端提供的函数,
建立系统服务,监控windows窗口,盗取传奇账号及相关信息,并发送邮件给木马种植者。
1.病毒运行后首先寻找名为"new_thread"的窗口(不可见),假如不存在,说明机器没有被感染;
2.病毒在%temp%文件夹下释放一个大小为42,740字节的动态链结文件,并调用其中的函数对系统进行感染;
3.假如病毒初次运行,会建立名为"Iprip"的服务:
[HKLM\SYSTEM\CurrentControlSet\Services\Iprip]
并利用如下键值实现加载:
[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost]
"netsvcs"="...Iprip..."
4.服务运行后,病毒体释放的dll文件被注入explorer.exe等系统进程,因此病毒
不会产生进程,隐蔽性很高。
5.病毒会监控系统中的窗口,获取传奇账号及相关信息,并发送E-Mail给木马种植者。
