病毒名称(中文):
秘密记录员
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
101660
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
“秘密记录员”(Win32.Troj.Agent.um.401408),该木马运行后,监视系统是否运行有安全软件(如360、金山反间谍、卡巴斯基等),假如有则关闭,并禁用任务治理器。同时,它会监视用户的QQ聊天信息和打开系统后门,便于黑客进行恶意行为。
1.复制文件:
%windir%\mwinsys.ini
%windir%\system\AlxRes070826.exe
%sys32dir%\inf\scrsys070826.scr
%sys32dir%\inf\scrsys16_070826.dll
%sys32dir%\winsys16_070826.dll
%sys32dir%\winsys32_070826.dll
d:\myplayer.com
2.添加到到注册表:
添加以下注册表项,开机自启动:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor]
AutoRun="d:\myplayer.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
Userinit="rundll32.exeC:\WINDOWS\system32\winsys16_070826.dllstart"
3.破坏方式
该木马运行后,复制DLL文件和Exe文件到系统文件夹,添加到启动项,随系统Explorer.exe启动,启动后在系统中查找是否有iexplore.exe、
TTraveler.exe或者maxthon.exe进程,假如有则创建远程线程注入其中,监视系统是否运行有安全软件(如360、金山反间谍、卡巴斯基等),
假如有则关闭,并禁用任务治理器;同时监视用户的QQ聊天信息,并保存记录到本地。另外,改木马打开系统后门,供黑客利用。
4.其他
在木马中发现了字符串:37***4901**p,可能是木马作者的QQ号信息。。