病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
135168
影响系统:
Win9xWin2000WinXP
病毒行为:
该病毒是QQ的盗号木马,它还会盗取网络游戏<完美世界>的账号和密码.
1.生成文件
C:\ProgramFiles\InternetExplorer\PLUGINS\SysWin64.Jmp
C:\ProgramFiles\InternetExplorer\PLUGINS\WinSys64.Sys
2.假如病毒运行发现WinSys64.sys已经存在则生成WinSys64.tao文件.
3.生成CLSID组件
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}Default=""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}\InProcServer32
Default="C:\ProgramFiles\InternetExplorer\PLUGINS\WinSys64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}\InProcServer32
ThreadingModel="Apartment"
4.生成注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{40117B96-998D-4D80-8F89-5E9DBD9F3460}
5.生成其他注册表项:
HKEY_CURRENT_USER\Software\Tencents
HKEY_CURRENT_USER\Software\Tencent\Gm
6.病毒会登录以下网络地址获得计算机的IP地址.
"http://flash.chinaren.com/ip/ip.php"
7.病毒会把截获的账号资料通过网页提交的方式发送到以下地址
"http://www.****.com//wuxu/wu/45.asp"
"htpp://www.****.com//wuxu/wu/up564.asp"
8.病毒运行后可能会打开以下网站:
"http://www.***.cn"
