病毒名称(中文):
盗号木马110592
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
19703
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这个木马程序会在用户系统中释放出文件,读取一些系统文件中的信息,并记录用户输入的类似网游帐号的数据。然后连接病毒作者指定的地址,上传偷到的资料,并等待下一步的命令。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\,T.dll
C:\WINDOWS\SYSTEM32\,T.dll.LoG
在磁盘中删除了以下文件:
C:\WINDOWS\SYSTEM32\Verclsid.exe
C:\WINDOWS\SYSTEM32\tf0
在注册表中创建了以下信息:
"HKCR\CLSID\"
"HKCR\CLSID\\InProcServer32"
"HKCR\.exe\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS"
"HKCU\Software\avs"
在注册表中设置了以下信息:
"HKCR\CLSID\""""MICROSOFT"
"HKCR\CLSID\\InProcServer32""""C:\WINDOWS\SYSTEM32\,T.dll"
"HKCR\CLSID\\InProcServer32""ThreadingModel""Apartment"
"HKCR\.exe\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS"""""
会从以下注册表中读取信息:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER"
"HKCU\avs"
病毒会连接作者指定的网址:
http://www.smsunionmm.com/102/tj.htm
域名:"www.smsunionmm.com"端口:80(TCP)
www.smsunionmm.com/102/tj.htm
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\,T.dll.LoG[dn]"lt""c:\sample.exe"
在系统中创建了以下进程:
病毒会枚举系统进程,可能会对一些安全进程进行关闭操作
病毒会通过以下途径传播:
病毒会利用网络进行传播
