病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
101313
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗号木马。该病毒盗取雅虎通、MSN、GASH等帐号密码,并将盗取的帐号密码以邮件发送给盗号者。建议电脑用户升级病毒库查杀该病毒,以免中毒造成损失。
1、生成的文件
C:\WINNT\system32\hs4viewer.dll
C:\WINNT\avp.exe
2、添加驱动
HKLM\System\CurrentControlSet\Services\WS2IFSL
"Type"="0x1"
HKLM\System\CurrentControlSet\Services\WS2IFSL
"Start"=0x2"
HKLM\System\CurrentControlSet\Services\WS2IFSL
"ImagePath"="\SystemRoot\System32\drivers\ws2ifsl.sys"
HKLM\System\CurrentControlSet\Services\WS2IFSL
"DisplayName"="Windows套接字2.0Non-IFS服务提供程序支持环境"
3、添加伪系统服务
HKLM\System\CurrentControlSet\Services\VGADown
"Type"="0x10"
HKLM\System\CurrentControlSet\Services\VGADown
"Start"="0x2"
HKLM\System\CurrentControlSet\Services\VGADown
"ImagePath"="C:\WINNT\avp.exe"
HKLM\System\CurrentControlSet\Services\VGADown
"DisplayName"="AudioAdapter"
4、修改SPI,其DLL路径为C:\WINNT\system32\hs4viewer.dll。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
5、在系统目录下生成delplme.bat批处理文件实现自删除。