病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
46562
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗号木马。它会盗取传奇、魔兽等游戏帐号和QQ密码,
并将盗取的帐号密码提交到指定的网页。该病毒在系统中做了很强的自我保护。
建议电脑用户要升级杀毒软件和打开防火墙,以防中毒受害。
1、生成的文件
%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\finder.com
%SystemRoot%\finder.com
%SystemRoot%\system32\command.pif
%SystemRoot%\WINLOGON.EXE
%\ProgramFiles%\intern~1\iexplore.com
%\ProgramFiles%\common~1\iexplore.pif
%SystemRoot%\explorer.com
%SystemRoot%\1.com
%SystemRoot%\ExERoute.exe
%D:%\pagefile.pif
%D:%\autorun.inf
%SystemRoot%\system32\MSCONFIG.COM
%SystemRoot%\system32\dxdiag.com
%SystemRoot%\system32\regedit.com
%SystemRoot%\Debug\DebugProgram.exe
2、修改系统exe文件关联
HKLM\SOFTWARE\Classes\winfiles\Shell\Open\Command
"Default"="%SystemRoot%\ExERoute.exe"%1"%*"
3、修改System.ini中的shell项
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Shell"="Explorer.exe1"
4、修改http协议缺省启动程序
HKLM\SOFTWARE\Classes\http\shell\open\command
"Default"=""%\ProgramFiles%\common~1\iexplore.pif"-nohome"
5、修改ftp协议缺省启动程序
HKLM\SOFTWARE\Classes\ftp\shell\open\command
"Default"=""%ProgramFiles%\InternetExplorer\iexplore.com"%1"
6、修改htmlfile协议缺省启动程序
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
"Default"=""%ProgramFiles%\InternetExplorer\iexplore.com"-nohome"
7、添加自启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TorjanProgram"="%SystemRoot%\WINLOGON.EXE"
8、该病毒在系统装了一个类型为WH_MSGFILTER消息钩子监视传奇、QQ等登陆程序,
其申请进程路径是%SystemRoot%\WINLOGON.EXE
9、ExERoute.exe进程会监视并维护WINLOGON.EXE进程
10、该病毒在其他非系统盘建了一个autorun.inf,每次双击这些盘都会再次感染该病毒。
11、接收帐号密码的处理网页
http://upd.etsoft.com.cn/UPD/info_new.asp?UID=""&UID88=""
http://upd.etsoft.com.cn/upd/xyqupdate.asp?FV=""&crc=""
http://upd.etsoft.com.cn/upd/wow.htm?crc=
http://upd.etsoft.com.cn/upd/uzt