病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
200704
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取用户输入信息的木马,它通过挂接系统的键盘和鼠标消息来记来用户输入的数据,保存文件后发送到指定的网站上。
病毒首先会把自己拷贝入system32目录下,命名为Kerne14.exe,并加上只读、隐藏、系统三个文件属性。
之后病毒会在注册表中HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
加入一个值load,指向kerne14.exe的路径,使病毒能随Windows启动;并在相同目录下创建一个文件名为$$a$$.bat的文件,
写入以下内容后执行,删除病毒文件;
@echooff
:try
del"c:\virus\PEWIN3~1.V"
ifexist"c:\virus\PEWIN3~1.V"gototry
del%0
cls
之后用WinExec运行Kerne14.exe文件,退出程序,把记录用户信息等任务交给Kerne14.exe。
Kerne14.exe启动后,会在system32目录下放出一个名为microsoftie4.dll的文件。
之后Kerne14.exe就会调用该DLL文件进行收集信息的工作。
病毒会把键盘KEY_DOWN消息和鼠标WM_MOUSEMOVE消息挂接入(hook)microsoftie4.dll里面,
使病毒能记录用户的键盘和鼠标动作,并记录在c:\log.txt里面,
之后就会把此文件发送到“h**p://www.410200.net/mgt1/upfile.asp”网站上面去。
由于病毒记录的是用户的键盘与鼠标操作,一但用户的敏感信息如帐号密码等被记录了,就会造成用户信息可能被泄漏。
