订阅病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
482304
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個通過IE盜取用戶信息的木馬病毒。
1:拷貝文件
病毒會把自己拷貝到以下幾個地方:
c:\windows\ime\dllhost.exe
c:\windows\system32\drivers\services.exe
c:\windows\system\svchost.exe
c:\windows\system32\dllcache\ntpdll.nls
c:\windows\system32\dllcache\checkntfs.nls
c:\windows\system32\dllcache\msvbvm60.nls
c:\windows\temp\msusb.dll
c:\windows\upgradel.log
2:關閉進程
病毒枚舉系統進程,關掉常見的殺毒、安全軟件進程。
3:注冊爲服務
病毒會把自己注冊爲Windows的服務,並設爲自動啓動,
使自己能隨Windows的啓動而啓動。
服務名是從svchost_oleserver、dns_event、ntfs_storage中隨機選一。
4:更改注冊表
病毒會更改以下注冊表:
HKEY_CLASSES_ROOT\htmlfile\shell\open\command
設置默認值指向病毒體,使每一次用戶打開HTML文件時都激活一次病毒。
5:記錄用戶信息與發送
病毒通過枚舉窗口,的方法,若發現IE或與IE有關的窗口(如Tencent的TT浏覽器、Maxthon等)
時就會記錄下用戶的鍵盤操作,並通過http://**.xhd.cn或http://**.91bs.com
這兩個網站的郵件發送引擎把記錄到的信息發送到病毒制造者的郵箱上去。
