病毒簡介
病毒別名:處理時間:2005-09-08
威脅級別:★
中文名稱:
病毒類型:木馬
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1,釋放檔案到以下目錄:%system%\msdll.dll
%windows%\
%root%\Program Files\svhost32.exe
2,增加註冊表項:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
"load" = "%root%\Program Files\svhost32.exe"
達到自啟動的目的
3,關閉下列進程:
'RavMon.exe'
'天網防火牆個人版'
'天網防火牆企業版'
'TfLockDownMain'
'ZoneAlarm'
'噬菌體'
'ZAFrameWnd'
'EGHOST.EXE'
'MAILMON.EXE'
'KAVPFW.EXE'
'IPARMOR.EXE'
'Ravmon.EXE'
4,從下列地址下載病毒檔案並運行:
http://www.abc.com/hehe/123.exe
5,修改Wininit.ini檔案,把病毒釋放的dll以重命名的方式,替換掉一個系統檔案.導致每次這個系統檔案被掉用的時候,該帶病的dll被調用.要利用這種方式,需要重新啟動用戶機器.
6,病毒釋放的%system%\msdll.dll檔案,是一個專門盜取魔獸遊戲帳號和密碼的病毒.該病毒能夠安裝訊息鉤子,自動查找魔獸遊戲的視窗,記錄用戶輸入的帳號和密碼等信息,然後把病毒信息傳送到指定的信箱.
