病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
40852
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下专门记录用户键盘操作的木马型病毒,病毒运行后用隐蔽的手法,以实现病毒运行过程中难以察觉,难以清除。病毒同时会在后台监视并记录用户击键信息,获取到击键信息并穿过网络防火墙发送到病毒作者指定的网站。病该病毒隐蔽性高,中毒后不易发觉,给用户安全造成一定的影响。
病毒主要能过欺骗安装进行感染。
1、该病毒运行后释放出以下几个程序文件:
%SystemRoot\System32\fcaevvgz.dll
%SystemRoot\System32\fcaevvgz.drv
%SystemRoot\System32\Drivers\fcaevvgz.sys
%SystemRoot\System32\fcaevvgz.log
%SystemRoot\System32\fcaevvgz.ime
2、病毒通过注入Winlogon.exe进程来加载IE程序,然后通过挂载IE程序访问网络(这样就可以穿过网络防火墙的监视),下载fcaevvgz.ime文件。
3、病毒通过加载驱动程序%SystemRoot\Drivers\fcaevvgz.sys,进行隐藏IE进程、隐藏以下的文件:
%SystemRoot%\System32\fcaevvgz.dll
%SystemRoot%\System32\fcaevvgz.drv
%SystemRoot%\System32\Drivers\fcaevvgz.sys
%SystemRoot%\System32\fcaevvgz.log
%SystemRoot%\System32\fcaevvgz.ime
4、病毒还通过修改注册表项,使病毒开机可以自动运行但又不被普通的用户发现,主要修改以下注册表部分:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
"ServiceDll"=%SystemRoot%\System32\fcaevvgz.dll
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SENS\Parameters]
"ServiceDll"=%SystemRoot%\System32\fcaevvgz.dll
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SENS\Parameters]
"ServiceDll"=%SystemRoot%\System32\fcaevvgz.dll
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SENS\Parameters]
"ServiceDll"=%SystemRoot%\System32\fcaevvgz.dll
5、同样,以上注册表部分也会被病毒所带的驱动进行保护,直接用一般的工具是不能够查觉出来的。
6、病毒在后台记录用户相关程序的击键信息,保存在%SystemRoot%\System32\fcaevvgz.log文件中,保存格式如下:
[年-月-日时:分:秒]程序标题名程序路径
按键信息
7、网络连接可用时,病毒会尝试连接以下网站下载病毒相关程序或文件:
http://61.233.179.***:***/index.asp?503******