病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
22680
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗号的木马。它会将盗取的帐号密码发送到指定的电子邮箱里。
1、生成的文件
%SystemRoot%\system32\mmdat.dat
%SystemRoot%\SYSTEM32\SVCH0ST.EXE
%SystemRoot%\system32\ntdll32.dll
%SystemRoot%\system32\wdata32.dll
2、添加注册表自启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"SVCHOST"="%SystemRoot%\SYSTEM32\SVCH0ST.EXE"
3、修改exe文件关联
HKCR\EXEFILE\SHELL\OPEN\COMMAND
"(Default)"="%SystemRoot%\SYSTEM32\SVCH0ST.EXE%1%*"
4、该病毒在系统中安装了类型为:
WH_CBT、WH_MSGFLITER、WH_CALLWNDPROC、WH_GETMESSAGE的四个钩子。
其申请程序都为:%SystemRoot%\SYSTEM32\SVCH0ST.EXE。
5、该病毒会访问下列ip地址
202.96.209.5
202.96.209.6
202.96.209.133
6、mmdat.dat用来记录病毒原始目录的文件。
wdata32.dll用来记录用户输入数据的文件。
7、接收邮箱
lengjingx@lply.net