病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
223592
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个运行于win32平台下,以欺骗方式盗取用户电信ADSL宽带上网帐号密码信息的木马型病毒。病毒运行后伪装成adsl密码被盗的提示信息,诱使用户输入正确的帐号密码信息。然后保存为特定文件,发送病毒作者。给用户经济造成损失。
病毒主要通过捆绑或欺骗方式传染。
病毒运行后查找窗体类名为:"Shell_TrayWnd"的窗体,找到后通过窗体句柄获取目标窗体的进程ID。然后远程注入把病毒代码注入到该进程中,然后修改以下注册表项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="00000001"
使得病毒运行过程中用户不能调出"Windows任务治理器"。
然后弹出伪电信adsl上网帐号被盗的信息框,诱使用户输入帐号密码信息,输入完毕后,病毒保存帐号密码信息为:haoma.ini,同时运行E:\haoma.bat。
并且登录以下网站下载病毒作者指定的特定程序:
http://ttqq.nease.net/3.exe
下载为:E:\haoma.scr。下载完毕运行该病毒程序。