病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
15911
影响系统:
WinNTWin2000WinXP
病毒行为:
判定该DLL文件是否注入到以下进程,是则创建线程执行相关操作:
winlogon.exe
explorer.exe
sungame.exe
创建批处理文件删除客户电脑上的verclsid.exe文件.
在客户电脑上安装键盘钩子和鼠标钩子.
从指定的网址上下载木马程序到客户电脑上并运行.
以读取内存的方式盗取客户电脑上的网络游戏"奇迹世界"的帐号信息.
从病毒指定的DLL文件里获取指定的发送地址,并把从客户电脑上获取所得的信息连接成有效URL地址.
禁用客户电脑上的系统更新和系统防火墙.
该病毒调用以下相关文件:
%SystemRoot%\system32\WMIApiSrv1.dll
%SystemRoot%\system32\WMIApiIni.dll
%SystemRoot%\system32\WMIApiTmp.dll
批处理内容如下:
@echooff
:Loop
attrib"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"-r-a-s-h
del"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"
ifexist"C:\WINDOWS\SYSTEM32\VERCLSID.EXE"gotoLoop
del%0
创建注册表:
键名:HKEY_CLASSES_ROOT\CLSID\{44123FF1-8371-9834-9021-184518451FA4}
名字:""(默认值)
数据:"%SystemRoot%\system32\WMIApiSrv1.dll"
键名:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks
名字:{44123FF1-8371-9834-9021-184518451FA4}
数据:"WMIApiSrv1.dll"
键名:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
名字:AppInit_DLLs
数据:"WMIApiSrv1.dll"
键名:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
名字:NoAutoUpdate
数据:"1"
键名:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\Au
名字:AUOptions
数据:"1"
键名:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
名字:EnableFirewall
数据:"0"
从以下地址下载木马程序:
hxxp://www.2*2*9**.com/s.exe
