簡介
病毒別名: 處理時間:2006-09-06 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
該病毒是一個盜取多款網遊帳號的木馬,病毒運行後會釋放多個自身拷貝到硬碟中。此外,病毒會修改系統中.exe,.html檔案的默認檔案關聯使用戶無意中運行病毒;病毒會添加註冊表項實現開機自啟動。病毒會查找網遊視窗,記錄鍵盤信息,傳送到指定信箱。
1、病毒運行後會拷貝自身到如下目錄:
c:\windows\lsass.exe
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\Program Files\Common Files\INTEXPLORE.pif
C:\windows\EXERT.EXE
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe
2、修改.exe、.html、檔案關聯,當該類型檔案被運行時會運行病毒檔案;
[HKCR\Applications\iexplore.exe\shell\open\command]
"(Default)"=""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
"(Default)"="C:\Program Files\Internet Explorer\INTEXPLORE.com"
[HKCR\htmlfile\shell\opennew\command]
"(Default)"="C:\Program Files\common~1\INTEXPLORE.pif" %1"
[HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]
"ToP"="C:\WINDOWS\LSASS.exe"
[HKCR\WindowFiles\shell\open\command]
"(Default)"="C:\WINDOWS\EXERT.exe "%1" %*"
刪除如下註冊表項:
[HKLM\System\CurrentControlSet\Services\TrkWks\Parameters\NextVolInfrequentTask]
3、安裝鍵盤和滑鼠鉤子,查找遊戲視窗並記錄鍵盤信息。
4、傳送信息到指定的信箱。
