病毒簡介
Trojan/WebMoney.Keepcar.a
病毒長度:16384位元組
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me
Trojan/WebMoney.Keepcar.a盜取WebMoney檔案、獲取剪下板數據並記錄鍵擊,此外還結束反病毒及防火牆軟體的有關進程。
傳播過程及特徵
1.創建檔案:%System%\load32.exe, 16384位元組
%System%\vxdmgr32.exe, 16384位元組
%WinDir%\win.ini, 8297位元組
%WinDir%\system.ini, 1935位元組
%WinDir%\start menu\programs\啟動\rundllw.exe, 16384位元組
%WinDir%\dllreg.exe, 16384位元組
%WinDir%\sysdrv.exe, 4096位元組
2.在WIN.INI中添加:
run=c:\windows\dllreg.exe
在SYSTEM.INI中添加:
shell=explorer.exe c:\windows\system\vxdmgr32.exe
3.修改註冊表:
/添加鍵值
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"load32" = %System%\load32.exe
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices】
"ZoneAlarm 2.99" = %WinDir%\sysdrv.exe
4.在啟動選單中添加下列程式:
%WinDir%\start menu\programs\啟動\rundllw.exe
這樣,在Windows啟動時,病毒就可以自動執行。
5.記錄鍵擊,獲取剪下板上的數據,搜尋.pwm和.kwm類型檔案,然後將獲取的所有信息傳送到特定的郵件地址。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
