病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
482304
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过IE盗取用户信息的木马病毒。
1:拷贝文件
病毒会把自己拷贝到以下几个地方:
c:\windows\ime\dllhost.exe
c:\windows\system32\drivers\services.exe
c:\windows\system\svchost.exe
c:\windows\system32\dllcache\ntpdll.nls
c:\windows\system32\dllcache\checkntfs.nls
c:\windows\system32\dllcache\msvbvm60.nls
c:\windows\temp\msusb.dll
c:\windows\upgradel.log
2:关闭进程
病毒枚举系统进程,关掉常见的杀毒、安全软件进程。
3:注册为服务
病毒会把自己注册为Windows的服务,并设为自动启动,
使自己能随Windows的启动而启动。
服务名是从svchost_oleserver、dns_event、ntfs_storage中随机选一。
4:更改注册表
病毒会更改以下注册表:
HKEY_CLASSES_ROOT\htmlfile\shell\open\command
设置默认值指向病毒体,使每一次用户打开HTML文件时都激活一次病毒。
5:记录用户信息与发送
病毒通过枚举窗口,的方法,若发现IE或与IE有关的窗口(如Tencent的TT浏览器、Maxthon等)
时就会记录下用户的键盘操作,并通过http://**.xhd.cn或http://**.91bs.com
这两个网站的邮件发送引擎把记录到的信息发送到病毒制造者的邮箱上去。