病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马。病毒运行后会释放病毒文件,然后通过注入桌面进程来监控桌面的窗口中的列表框是否指定的名称,假如匹配到了,开始
注入并盗取用户名和密码。该病毒还会从远程服务器下载大量木马至用户计算机。
1.生成文件
%commonfiles%\MicrosoftShared\MSInfo\NewInfo.bmt
%commonfiles%\MicrosoftShared\MSInfo\NewInfo.tmp
%commonfiles%\MicrosoftShared\MSInfo\system.2dt
2.生成注册表项
HKEY_CLASSES_ROOT\CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
HKEY_CURRENT_USER\Software\Tencent\IeHookFirst"nb"
3.通过注入桌面进程,查找窗口中名称为tl13145、xg51314的列表框,找到则创建线程监控信息,将盗得的用户名密码发送至126邮箱
4.从远程服务器下载大量木马至用户计算机
hxxp://www.l7xxx.com/down/xx.exe
5.发现留下的话:"别装作仍然温柔"