病毒名称(中文):
雁过留声盗号器118784
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
118784
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马程序。该病毒修改注册表实现自动启动,然后在IE浏览器的后面创造一个IE服务器,以此截获用户浏览网页时输入的各种帐号和密码,达到盗号目的。
1.程序运行后,生成文件
%WINDOWS%\system32\MSetole.dll
%WINDOWS%\system32\serve.exe
2.程序运行后删除自身原始文件
3.在注册表中添加了注册项,如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32RegEdit
项名:ImagePath对应路径:hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,73,65,72,76,65,2e,65,78,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32REGEDIT\0000\Control
项名:ActiveService对应值:"Win32RegEdit"
4.木马冒充InternetExplorer_Server,创建个IE服务器
,相当于在你和真正的服务器之间被他截取了一次,通过截取用户输入的相关帐号信息,以网页报表(Host:%s)的方式将相关信息用
a=%s&p=%s&g=%s&s=%s&n=%s&l=%s...的格式发送出去。