该病毒是一个通过监视IE、盗取用户信息并能将盗取的信息通过邮件发送出去的木马;
病毒采用UPX压缩,Delphi编写;
一旦执行病毒将:
1.自我复制到系统目录:
%SYSDIR%\user32.exe
同时释放一个DLL文件:MSlib32.Dll -> 这是病毒的IE监视的模块
创建一个文件:mssdk32.dll -> 这是病毒监视IE时使用的过滤字符文本
2.修改注册表来自启动:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"shell" = "EXPlorer.exe %SYSDIR%\user32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"User Mansger" = "user32.exe"
3.病毒将盗取的信息通过自己构建的SMTP发送。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-6-9
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
