病毒名称(中文):
AUTO键盘记录员77824
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
77824
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播,进入用户电脑后会修改注册表实现自启动,然后记录用户的键盘操作。
1.释放病毒文件
%system32%\xxyXpMFV.dll
%SYSTEM32%\xxyXpMFV.exe
%SYSTEM32%\drivers\xxyXpMFV.sys
文件名都是随机生成的
2.创建键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\xxyXpMFV
"Startup"="logon_startup"
"Impersonate"=""
"DllName"="xxyXpMFV.dll"
"Asynchronous"=""
HKLM\System\CurrentControlSet\Services\xxyXpMFV
"Type"=""
"ErrorControl"=""
"Start"=""
"DisplayName"="xxyXpMFV"
"ImagePath"="\%system32%\drivers\xxyXpMFV.sys"
3.病毒会用cmd命令删除自身
4.在注册表中创建0xbe8e2ce1,0xdab6,0x11d6,0xad,0xd0,0x0,0xe0,0x4c,0x53,0xf6,0xe6互斥量。
往U盘里复制xxyXpMFV.exe和Autorun.inf
Autorun.inf,大小83字节,内容如下:
[AutoRun]
shell=verb1
shell\verb1\command=xxyXpMFV.exe-showU
shell\verb1=Open
5.xxyXpMFV.dll的行为:
监控ActiveWindowsTitle,记录键盘[DEL][INS][DF][RF][UF][LF][HOME][END][PD][PU][SP][ESC][EN]
[TAB][BK][F12][F11][F10][F9][F8][F7][F6][F5][F4][F3][F2][F1]