病毒特徵
具體技術特徵如下:
1. 在感染計算機上釋放下列檔案:
%SystemDir%\mmdat.dat 記錄病毒原始目錄
%SystemDir%\intrenat.exe病毒主程式
%SystemDir%\ntdll32.dll 鉤子模組
%SystemDir%\wdata32.dll 記錄用戶輸入數據
2.在註冊表中添加下列啟動項:
在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intrenat" = %SystemDir%\intrenat.exe
這樣,在Windows啟動時,病毒就可以自動執行。
病毒通過修改下列註冊表鍵值,修改檔案關聯:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"" = c:\winnt\system32\intrenat.exe %1 %*
這樣,用戶打開任何exe檔案,都會再次運行病毒程式。
3.安裝鉤子,子類化IE伺服器視窗(Internet Explorer_Server),當發現網頁上有以下一些字元時開始記錄用戶輸入信息。
Password
Text
密碼:
Reset
Submit
4.將記錄的用戶信息發往指定信箱 。
