Win32.Troj.SvcStor.a

2008-08-14 22:38:18  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

 

　　病毒名稱(中文):

　　

　　病毒別名:

　　

　　

　　威脅級別:

　　★☆☆☆☆

　　病毒類型:

　　木馬程序

　　病毒長度:

　　482304

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是一個通過IE盜取用戶信息的木馬病毒。

　　1：拷貝文件

　　病毒會把自己拷貝到以下幾個地方：

　　c:\windows\ime\dllhost.exe

　　c:\windows\system32\drivers\services.exe

　　c:\windows\system\svchost.exe

　　c:\windows\system32\dllcache\ntpdll.nls

　　c:\windows\system32\dllcache\checkntfs.nls

　　c:\windows\system32\dllcache\msvbvm60.nls

　　c:\windows\temp\msusb.dll

　　c:\windows\upgradel.log

　　2：關閉進程

　　病毒枚舉系統進程，關掉常見的殺毒、安全軟件進程。

　　3：注冊爲服務

　　病毒會把自己注冊爲Windows的服務，並設爲自動啓動，

　　使自己能隨Windows的啓動而啓動。

　　服務名是從svchost_oleserver、dns_event、ntfs_storage中隨機選一。

　　4：更改注冊表

　　病毒會更改以下注冊表：

　　HKEY_CLASSES_ROOT\htmlfile\shell\open\command

　　設置默認值指向病毒體，使每一次用戶打開HTML文件時都激活一次病毒。

　　5：記錄用戶信息與發送

　　病毒通過枚舉窗口，的方法，若發現IE或與IE有關的窗口（如Tencent的TT浏覽器、Maxthon等）

　　時就會記錄下用戶的鍵盤操作，並通過http://**.xhd.cn或http://**.91bs.com

　　這兩個網站的郵件發送引擎把記錄到的信息發送到病毒制造者的郵箱上去。

 

 

 

 

 

 

 

 

 

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 482304 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個通過IE盜取用戶信息的木馬病毒。 1：拷貝文件 病毒會把自己拷貝到以下幾個地方： c:\windows\ime\dllhost.exe c:\windows\system32\drivers\services.exe c:\windows\system\svchost.exe c:\windows\system32\dllcache\ntpdll.nls c:\windows\system32\dllcache\checkntfs.nls c:\windows\system32\dllcache\msvbvm60.nls c:\windows\temp\msusb.dll c:\windows\upgradel.log 2：關閉進程 病毒枚舉系統進程，關掉常見的殺毒、安全軟件進程。 3：注冊爲服務 病毒會把自己注冊爲Windows的服務，並設爲自動啓動， 使自己能隨Windows的啓動而啓動。 服務名是從svchost_oleserver、dns_event、ntfs_storage中隨機選一。 4：更改注冊表 病毒會更改以下注冊表： HKEY_CLASSES_ROOT\htmlfile\shell\open\command 設置默認值指向病毒體，使每一次用戶打開HTML文件時都激活一次病毒。 5：記錄用戶信息與發送 病毒通過枚舉窗口，的方法，若發現IE或與IE有關的窗口（如Tencent的TT浏覽器、Maxthon等） 時就會記錄下用戶的鍵盤操作，並通過http://**.xhd.cn或http://**.91bs.com 這兩個網站的郵件發送引擎把記錄到的信息發送到病毒制造者的郵箱上去。

 

 

 

　　免責聲明：本文僅代表作者個人觀點，與王朝網路無關。王朝網路登載此文出於傳遞更多信息之目的，並不意味著贊同其觀點或證實其描述，其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，並請自行核實相關內容。