病毒名称(中文):
精确制导监视器
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
52224
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个间谍木马程序。它能够记录用户的系统数据和所在地区,以及用户使用搜索引擎时输入的要害词,然后将这些信息发送给病毒作者。该毒有一个特点,就是病毒作者可以给它指定发作地区。
1.创建线程explorer.exe,删除自身
2.将自身复制到c:\WINDOWS\system32目录下,名字随机生成
3.在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon增加记录system,值为生成的文件名
4.将自身文件映射到内存,从6*.2*.1*8.221下载文件到该映射,即覆盖文件
5.检查父进程是否是explorer,若不是则将其关闭
6.给自身创建并开启服务,服务名为WindowsTributeService
7.从IE的缓存中检查访问过的网址
检查IE缓存,将msn、google、yahoo、aol、icq等等搜索引擎所使用过的要害词记录到缓存
检查当前浏览器是iexplore.exe还是firefox.exe,将上面的信息发送给1*1.*9.0.2
8.检查ControlPanel\International的键值iCountry、Nation判定所在的国家,可以通过此处来设定在特定的国家执行该病毒,这里没有设定
9.将系统目录下的exe文件创建进程执行一次,然后关闭,得到一个能执行的exe文件,然后再创建进程执行,并且调用一组API将得到的信息写入到该进程申请的空间中去
10.打开explorer.exe进程,将自身代码以及信息注入进去,然后恢复线程执行