病毒別名:
處理時間:2007-02-02 威脅級別:★中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒是一個盜號木馬。建議電腦用戶升級病毒庫查殺該病毒,以免中毒造成損失。1、生成的檔案
%SystemRoot%\system32\jet300.dll
%SystemRoot%\system32\drivers\svchost.exe
%SystemRoot%\system32\drivers\msnet.sys
2、添加偽系統服務
HKLM\System\CurrentControlSet\Services\svchost
"Type" = "0x10"
HKLM\System\CurrentControlSet\Services\svchost
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\svchost
"ImagePath" = "%SystemRoot%\system32\drivers\svchost.exe"
HKLM\System\CurrentControlSet\Services\svchost
"DisplayName" = "Service"
HKLM\SYSTEM\CurrentControlSet\Services\svchost
"Description" = "作為終結點映射程式(endpoint mapper)和 COM 服務控制管理器使用。如果此
服務被停用或禁用,使用 COM 或遠程過程調用(RPC)服務的程式工作將不正常。"
3、安裝驅動
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"Start" = "0x0"
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"Type" = "0x1"
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"ImagePath" = "system32\drivers\msnet.sys"
HKLM\SYSTEM\CurrentControlSet\Services\msnet
"DisplayName" = "msnet"
4、該病毒會訪問並嘗試下載下列檔案
http://www.163dhw.***/back.dll
http://www.163dhw.***/back.prop
http://218.5.77.**/qq/ndprop.txt