病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
177042
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马生成器,能按用户输入的资料生成木马,生成的木马能收集用户的信息,
并发送到指定的邮箱里面,给用户造成很大的麻烦。
1:输入信息并生成木马
程序运行后,会要求用户输入Email地址与DNS服务器,Email地址用于接收受感染机的信息之用,
而DNS服务器则用于解释Email服务器的IP地址。用户输入这两个信息后,程序就能按要求生成一个木马(Trojan.fantast22.38464),之后黑客把生成的木马发给不知情的用户运行后,
就能在指定的邮箱收到带用户机器信息的邮件。
2:生成的木马(Trojan.fantast22.38464)分析
A:创建斥体
病毒运行时,首先会创建一个斥体名为"fantast!"的斥体,
防止病毒重复运行。
B:拷贝文件
病毒运行后把自己拷贝到以下地址:
c:\winnt\winns.exe
C:更改INI文件
病毒会更改下面的INI文件
c:\windows\system.ini
在shell节里面添加一个名为boot的项
并把它改为"Explorer.exewinns.exe"
使病毒能随Windows启动
D:更改注册表
病毒会更改以下注册表中的值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
添加一个Shell的键,
值为"Explorer.exewinns.exe"
使病毒能随Windows启动。
E:收集并发送用户信息
病毒会通过读取注册表的信息来收集用户机器上的信息,如用户名,
CPU主频,OS类型等敏感信息,不排除作者会在以后的版本加入读取
用户密码等功能。这使得用户的资源被泄漏,给用户造成很大的麻烦。
病毒收集信息后,会用自带的邮件引擎把相关的信息发送到黑客指定的邮箱