病毒名称(中文):
网游盗号木马1067520
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
1067808
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马的变种。它会在磁盘中释放出文件,修改注册表创建系统服务,记录用户利用键盘、鼠标输入的数据。发送给病毒作者
在磁盘中释放出以下文件:
C:
C:\WINDOWS
C:\WINDOWS\__tmp_rar_sfx_access_check_865195
C:\WINDOWS\Function.dll
C:\WINDOWS\SOLA_2.0_25187257727492.bat
C:\WINDOWS\chn.jpg
C:\WINDOWS\__tmp_rar_sfx_access_check_2249696
在磁盘中删除了以下文件:
__tmp_rar_sfx_access_check_865195
__tmp_rar_sfx_access_check_2249696
在注册表中创建了以下信息:
"HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}"
"HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}\InProcServer32"
"HKCR\.exe\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS"
"HKCU\Software\avs"
在注册表中设置了以下信息:
"HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}""""MICROSOFT"
"HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}\InProcServer32""""C:\WINDOWS\SYSTEM32\zgxfdx.dll"
"HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}\InProcServer32""ThreadingModel""Apartment"
"HKCR\.exe\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS"""""
会从以下注册表中读取信息:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER"
"HKCU\avs"
病毒会连接作者指定的网址:
病毒会从http://d**.tesekl.info/net.exe下载文件至本地计算机c:\net.exe
在系统中创建了以下钩子:
消息钩子
鼠标钩子,会记录用户鼠标操作
键盘钩子,会记录用户键盘操作
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\zgxfdx.dll.LoG[dn]"lt""c:\sample.exe"
