订阅病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
475878
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗号木马。建议电脑用户升级病毒库查杀该病毒,以免中毒造成损失。
1、生成的文件
%SystemRoot%\system32\jet300.dll
%SystemRoot%\system32\drivers\svchost.exe
%SystemRoot%\system32\drivers\msnet.sys
2、添加伪系统服务
HKLM\System\CurrentControlSet\Services\svchost
"Type"="0x10"
HKLM\System\CurrentControlSet\Services\svchost
"Start"="0x2"
HKLM\System\CurrentControlSet\Services\svchost
"ImagePath"="%SystemRoot%\system32\drivers\svchost.exe"
HKLM\System\CurrentControlSet\Services\svchost
"DisplayName"="Service"
HKLM\SYSTEM\CurrentControlSet\Services\svchost
"Description"="作为终结点映射程序(endpointmapper)和COM服务控制治理器使用。假如此
服务被停用或禁用,使用COM或远程过程调用(RPC)服务的程序工作将不正常。"
3、安装驱动
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"Start"="0x0"
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"Type"="0x1"
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"ImagePath"="system32\drivers\msnet.sys"
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"DisplayName"="msnet"
4、该病毒会访问并尝试下载下列文件
http://www.163dhw.***/back.dll
http://www.163dhw.***/back.prop
http://218.5.77.**/qq/ndprop.txt
