病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
75264
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过邮件和共享文件传播的蠕虫,该蠕虫病毒病毒与传统的蠕虫病毒不同的是,该蠕虫还会监视用户的键盘信息,盗取用户的敏感信息.查找用户机器上的邮件地址,向搜索到的地址发送自己.并且把自己加为BHO,使病毒启动更隐秘.对用户的安全造成较大的损失.
1.把病毒本身拷贝到%system%\下面,并且生成随机的病毒名.包括exe和dll.
2.添加以下注册表键值,注册病毒本身为BHO:
HKCR\CLSID\{84695FD5-A8A8-11D8-978E-005022E14DE2}\InprocServer32
@"%system%\病毒.dll"
HKCR\IESpy.SpyBHO\CLSID
@"{84695FD5-A8A8-11D8-978E-005022E14DE2}"
HKCR\IESpy.SpyBHO\CurVer
@"IESpy.SpyBHO.1"
HKCR\IESpy.SpyBHO.1
@"SpyBHOClass"
3.蠕虫使用自带的SMTP引擎发送邮件,邮件地址从被感染机器上搜索硬盘中以下扩展名的文件:
dbx
tbb
eml
mbx
htm
asp
sht
包含以下字符的邮件地址,蠕虫不进行发送:
admin
hostmaster
messagelab
symantec
localdomain
localhost
mcafee
postmaster
webmaster
spam
reports
noreply
recipients
abuse
microsoft
root
病毒发送邮件的主题和附件都是可变的,邮件内容为空。
主题可能是:
song
screensaver
music
video
photo
girls
pic
message
image
news
details
resume
love
readme
邮件附件可能是:
蠕虫在ZIP附件中,使用以下文件名:
music.mp3.scr
video.avi.scr
photo.jpg.scr
girls.jpg.scr
pics.jpg.scr
message.txt.scr
image.jpg.scr
news.doc.scr
details.doc.scr
resume.doc.scr
love.jpg.scr
readme.txt.scr
4.该病毒将记录所有进入打开窗口的按键,
并将信息保存到%System%\病毒.dll。随后将这个文件发送到特定的地址。
