病毒名称(中文):
网银大盗221184
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
221184
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马释放出来的DLL文件。该病毒是个盗取网银帐号的木马,该病毒释放一系列文件,自动运行iexplore.exe,根据黑客发出的指令信息,在用户机器上获取相应的信息,并以邮件的形式发送到到黑客指定邮箱。
1.该DLL运行后,首先查询"c:\\temp\\debug.log","start_from_here"这些信息,以判定是否感染病毒,接着修改当前进程的权限,获取系统目录%system32%,得到%system32%\dllcache\c_20819.nls,%system32%\mspw.dll,%system32%\chkdsk.exe并分别判定是否存在这三个文件,不存在就复制,
并判定.\Global\power驱动是否存在,接着注册服务,创建线程获取用户电脑的相关信息,然后以version_report的形式,冒充update_myself发送出去。
2.该病毒会释放大量文件,并生成autorun.inf文件,文件内容为:(该DLL无法释放)
[AutoRun]
open="...\help.exeo_disk"
shell\open=打开(&O)
shell\open\Command="...\help.exeo_disk"
shell\open\Default=1
shell\explore=资源治理器(&X)
shell\explore\Command="...\help.exeo_disk"
shellexecute="...\help.exeo_disk"
shell\Auto\command="...\help.exeo_disk"
