病毒名称(中文):
IP记录盗号者135186
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
135186
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗号木马。它可盗取QQ号和网络游戏《完美世界》的账号,并记录下用户的真实IP地址。
1.生成文件
C:\ProgramFiles\InternetExplorer\PLUGINS\SysWin64.Jmp
C:\ProgramFiles\InternetExplorer\PLUGINS\WinSys64.Sys
2.假如病毒运行发现WinSys64.sys已经存在则生成WinSys64.tao文件.
3.生成CLSID组件
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}Default=""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}\InProcServer32
Default="C:\ProgramFiles\InternetExplorer\PLUGINS\WinSys64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}\InProcServer32
ThreadingModel="Apartment"
4.生成注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{40117B96-998D-4D80-8F89-5E9DBD9F3460}
5.生成其他注册表项:
HKEY_CURRENT_USER\Software\Tencents
HKEY_CURRENT_USER\Software\Tencent\Gm
6.病毒会登录以下网络地址获得计算机的IP地址.
http:\\flash.chinaren.com/ip/ip.php
7.病毒会把截获的账号资料通过网页提交的方式发送到以下地址
http:\\www.****.com//wuxu/wu/45.asp
htpp:\\www.****.com//wuxu/wu/up564.asp
8.病毒运行后可能会打开以下网站:
http:\\www.***.cn