病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
92261
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗取多款网游帐号的木马,病毒运行后会释放多个自身拷贝到硬盘中。此外,病毒会修改系统中.exe,.html文件的默认文件关联使用户无意中运行病毒;病毒会添加注册表项实现开机自启动。病毒会查找网游窗口,记录键盘信息,发送到指定邮箱。
1、病毒运行后会拷贝自身到如下目录:
c:\windows\lsass.exe
C:\ProgramFiles\InternetExplorer\INTEXPLORE.com
C:\ProgramFiles\CommonFiles\INTEXPLORE.pif
C:\windows\EXERT.EXE
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe
2、修改.exe、.html、文件关联,当该类型文件被运行时会运行病毒文件;
[HKCR\Applications\iexplore.exe\shell\open\command]
"(Default)"=""C:\ProgramFiles\InternetExplorer\INTEXPLORE.com"%1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
"(Default)"="C:\ProgramFiles\InternetExplorer\INTEXPLORE.com"
[HKCR\htmlfile\shell\opennew\command]
"(Default)"="C:\ProgramFiles\common~1\INTEXPLORE.pif"%1"
[HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]
"ToP"="C:\WINDOWS\LSASS.exe"
[HKCR\WindowFiles\shell\open\command]
"(Default)"="C:\WINDOWS\EXERT.exe"%1"%*"
删除如下注册表项:
[HKLM\System\CurrentControlSet\Services\TrkWks\Parameters\NextVolInfrequentTask]
3、安装键盘和鼠标钩子,查找游戏窗口并记录键盘信息。
4、发送信息到指定的邮箱。