病毒別名
: 處理時間:2006-08-02 威脅級別:★中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
:
該病毒是一個盜號木馬。它會盜取傳奇、魔獸等遊戲帳號和QQ密碼,
並將盜取的帳號密碼提交到指定的網頁。該病毒在系統中做了很強的自我保護。
建議電腦用戶要升級防毒軟體和打開防火牆,以防中毒受害。
1、生成的檔案
%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\finder.com
%SystemRoot%\finder.com
%SystemRoot%\system32\command.pif
%SystemRoot%\WINLOGON.EXE
%\Program Files%\intern~1\iexplore.com
%\Program Files%\common~1\iexplore.pif
%SystemRoot%\explorer.com
%SystemRoot%\1.com
%SystemRoot%\ExERoute.exe
%D:%\pagefile.pif
%D:%\autorun.inf
%SystemRoot%\system32\MSCONFIG.COM
%SystemRoot%\system32\dxdiag.com
%SystemRoot%\system32\regedit.com
%SystemRoot%\Debug\DebugProgram.exe
2、修改系統exe檔案關聯
HKLM\SOFTWARE\Classes\winfiles\Shell\Open\Command
"Default" = "%SystemRoot%\ExERoute.exe "%1" %*"
3、修改System.ini中的shell項
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe 1"
4、修改http協定預設啟動程式
HKLM\SOFTWARE\Classes\http\shell\open\command
"Default" = ""%\Program Files%\common~1\iexplore.pif" -nohome"
5、修改ftp協定預設啟動程式
HKLM\SOFTWARE\Classes\ftp\shell\open\command
"Default" = ""%Program Files%\Internet Explorer\iexplore.com" %1"
6、修改htmlfile協定預設啟動程式
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command
"Default" = ""%Program Files%\Internet Explorer\iexplore.com" -nohome"
7、添加自啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Torjan Program" = "%SystemRoot%\WINLOGON.EXE"
8、該病毒在系統裝了一個類型為WH_MSGFILTER訊息鉤子監視傳奇、QQ等登入程式,
其申請進程路徑是%SystemRoot%\WINLOGON.EXE
9、ExERoute.exe進程會監視並維護WINLOGON.EXE進程
10、該病毒在其他非系統盤建了一個autorun.inf,每次雙擊這些盤都會再次感染該病毒。
11、接收帳號密碼的處理網頁
http://upd.etsoft.com.cn/UPD/info_new.asp?UID=""&UID88=""
http://upd.etsoft.com.cn/upd/xyqupdate.asp?FV=""&crc=""
http://upd.etsoft.com.cn/upd/wow.htm?crc=
http://upd.etsoft.com.cn/upd/uzt
