病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
41312
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗号木马。病毒运行后会监视系统并记录用户的游戏登陆帐号和密码,并把这些帐号密码发送到指定的电子邮箱里。
1、生成的文件
%SystemRoot%\system32\error.dat
%SystemRoot%\SYSTEM32\MSISEXEC.EXE
%SystemRoot%\system32\systask.dll
%SystemRoot%\system32\wdata32.dll
2、添加注册表启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"msisexec"="C:\WINNT\SYSTEM32\MSISEXEC.EXE"
3、修改注册表HKEY_CURRENT_USER默认属性值
HKCU\"(Default)"="C:\WINNT\SYSTEM32\MSISEXEC.EXE"
4、该病毒在系统中安装了类型为WH_CBT、WH_MSGFILTER、WH_CALLWNDPROC、WH_GETMESSAGE的四个钩子。其申请进程路径都是“%SystemRoot%\SYSTEM32\MSISEXEC.EXE”。
5、该病毒记录的用户数据会保存在文件wdata32.dll中。
6、该病毒的主程序MSISEXEC.EXE运行后,会把error.dat文件删除。