病毒采用VC编写,UPX压缩。
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为随机的字母组合,文件扩展名为".EXE"。
二、释放一个用于挂接键盘钩子的动态库文件到%SYSDIR%目录下,并挂接键盘钩子以窃取用户信息。
三、修改注册表以下键值,以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加一个随机的数据项名称,该数据项的值为病毒文件的全路径名
四、查看当前系统是否有以下进程,如果有则将该进程结束:
"_AVP32.EXE"
"_AVPCC.EXE"
"_AVPM.EXE"
"ACKWIN32.EXE"
"ANTI-TROJAN.EXE"
"APVXDWIN.EXE"
"AUTODOWN.EXE"
"AVCONSOL.EXE"
"AVE32.EXE"
"AVGCTRL.EXE"
"AVKSERV.EXE"
"AVNT.EXE"
"AVP.EXE"
"AVP32.EXE"
"AVPCC.EXE"
"AVPDOS32.EXE"
"AVPM.EXE"
"AVPTC32.EXE"
"AVPUPD.EXE"
"AVSCHED32.EXE"
"AVWIN95.EXE"
"AVWUPD32.EXE"
"BLACKD.EXE"
"BLACKICE.EXE"
"CFIADMIN.EXE"
"CFIAUDIT.EXE"
"CFINET.EXE"
"CFINET32.EXE"
……
五、搜索当前计算机中文件名包含以下关键字的文件:
".ODS"、
"INBOX""、
".MMF"、
".NCH"、
".MBX"、
"EML"、
".TBB"、
".DBX"、
".ini"、
".rdp"、
".INI"
试图从中获取邮件地址。
六、发送携带病毒的邮件:
邮件标题有以下可能:
"!!! WARNING !!!"
"Hi!"
"Your News Alert"
"good news!"
"Your Gift"
"New bonus in your cash account"
"Tools For Your Online Business"
"Daily Email Reminder"
"News"
"free shipping!"
……
邮件附件文件名为:"game.exe"
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-1-5
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
