病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
77824
影响系统:
WinNTWin2000WinXP
病毒行为:
盗号木马,病毒在system32目录下释放病毒文件,并创建注册表启动项,以达到病毒开机自启动。病毒通过创建线程不断修改注册表,禁用"系统自动更新"和"系统防火墙"两个功能,会通过内存读写的方式盗取客户计算机上网络游戏《刀剑》的帐号信息。
病毒运行后把自身拷贝至:
%windir%\system32\sidjaaz.exe
并释放病毒文件:
%windir%\system32\sidjacs.dll
%windir%\system32\sidjazy.dll
%windir%\Fonts\cadaafx.fon
病毒添加注册表启动项:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Value:"{18847374-8323-FADC-B443-4732ABCD3781}"
Data:"sidjazy.dll"
病毒添加注册表:
Key:HKEY_CLASSES_ROOT\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32
Value:"@"
Data:"%windir%\system32\sidjazy.dll"
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18847374-8323-FADC-B443-4732ABCD3781}\InprocServer32
Value:"@"
Data:"%windir%\system32\sidjazy.dll"
病毒修改注册表:
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
Value:"AppInit_DLLs"
BeforeData:""
AfterData:"sidjazy.dll"
查找计算机上的system32目录下是否存在"verclsid.exe"文件,有则创建批处理文件删除。
创建批处理文件删除以下目录下的所有cfg后缀名的文件:
C:\ProgramFiles\NetMeetingD:\ProgramFiles\NetMeeting%windir%\system32创建线程不断修改注册表,禁用"系统自动更新"和"系统防火墙"两个功能。
通过读写内存的方式盗取客户计算机上的网络游戏《刀剑》的帐号信息。