病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
23184
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
1、文件操作:
将自身复制到%system%目录下并运行,改名为SVCH0ST.EXE(注重是数字0,不是字母O),并设置文件属性为只读、隐藏和系统属性。
在%system%目录下释放文件ntdll32.dll
2、注册表操作:添加自启动项:HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SVCHOST,键值为复制体SVCH0ST.EXE路径。
通过修改HKCR\EXEFILE\SHELL\OPEN\COMMAND\(Default)的键值为"%SYSTEM32%\SVCH0ST.EXE%1%*"来修改EXE文件关联,使每次打开EXE文件时都会执行病毒。
3、创建名为MimaThief的互斥量,保证只有一个病毒体在运行。
4、通过ntdll32.dll文件来HOOK窗口消息,假如发现带有下面所列字样的窗口,则关闭该窗口所属的进程:
江民,瑞星,金山,噬菌体,木马克星,Symantec,天网防火墙,绿鹰
5、记录用户使用各种登陆窗口时键入的帐号和密码,并发送到指定邮箱。