Win32.Troj.TroBnb.a

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

1503232

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个泡泡堂游戏的木马生成器，它能按木马播种者输入的参数生成该游戏的木马。

1：该程序可通过网页与邮箱两种方式把得到的密码发送到木马种植者的手中，

程序运行时，就需要木马种植者输入网页的地址与邮箱的地址，这样一但有用户中了病毒，

相应的网页地址与邮箱地址就会收到病毒发出的游戏帐号与密码信息了。

2：程序生成的木马分析

A：释放文件

该程序的木马运行后，会在系统目录下释放两个文件：

C:\Windows\system32\sheipp32.dll(Win32.Troj.PaoPao.er.53760)

C:\Windows\system32\svchospp.exe(Win32.Troj.PaoPao.16384)

然后程序自删除。

B：更改注册表

病毒会修改此处注册表，自己能随Windows启动

HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

SysDesk->"C:\WINDOWS\system32\svchospp.exe"

C：截取游戏泡泡堂堂的帐号与密码

svchospp.exe通过调用sheipp32.dll的方式来实现截取泡泡堂密码的动作的。

Sheipp32.dll先把泡泡堂的程序挂接住(Hook)，一但发现用户输入密码的时候，

该文件就会把泡泡堂的帐号与密码记录下来，并传到svchospp.exe里，

并由svchospp.exe通过自带的邮件引擎发送到木马种植者的邮箱里。