病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
15950
影响系统:
Win9xWinMeWin2000WinXP
病毒行为:
判定该DLL文件是否注入到以下进程:
winlogon.exe
explorer.exe
xy2.exe
检查客户机上是否存在verclsid.exe该文件,存在则创建批处理删除.
修改注册表关闭系统的自动更新和系统防火墙.
在客户机上挂上键盘钩子.
该木马假如注入了xy2.exe(大话西游II)进程,则会以复制内存信息的方法盗取客户机上的帐号信息.
该木马读取dhapri.dll以获取指定的发送地址后,把获取所得的帐号信息连接成有效URL地址发送出去.
批处理内容如下:
@echooff
:Loop
attrib"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"-r-a-s-h
del"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"
ifexist"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"gotoLoop
del%0
添加注册表:
键名:HKEY_CLASSES_ROOT\CLSID\{12311A42-AC1B-158F-FD32-5674345F23A1}\InprocServer32
名字:""[InprocServer32的默认值]
数据:"%SystemRoot%\system32\dhapri.dll"
键名:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks
名字:{12311A42-AC1B-158F-FD32-5674345F23A1}
数据:"dhapri.dll"
键名:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
名字:Appinit_Dlls
数据:"dhapri.dll"