病毒名稱
Win32.Troj.JpgHorse病毒別名:
處理時間:
威脅級別:★★
中文名稱:
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為
這是一個用VB編寫的木馬病毒。該病毒會修改JPG檔案關聯到病毒程式,並修改JPG檔案顯示的圖示。病毒由於編寫上的缺陷並沒有釋放該檔案,導致無法正常打開JPG檔案。病毒還生成Wininit.ini,用來將病毒副本替換掉病毒檔案,以防止被刪除。病毒會關閉常見的安全軟體,如天網防火牆等,然後打開後門連線埠51984和1028等待黑客連線。病毒還會記錄用戶的按鍵信息以及對應的視窗標題,保存在本地硬碟中,當記錄的信息達到一定大小的時候再傳送到指定的信箱。1.將自身複製為:%SystemRoot%\Internet.exe,%System%\EtHorse.dll,並釋放檔案%System%\MSWINSCK.OCX(VB的winsock控制項,病毒運行需要此檔案);
生成檔案%SystemRoot%\Wininit.ini,檔案內容為:
【rename】
C:\WINNT\Internet.exe=C:\WINNT\System32\EtHorse.dll
C:\WINNT\System32\Image.exe=C:\WINNT\System32\EtImg.ocx
用病毒副本替換當前的病毒檔案。
生成檔案%SystemRoot%\EhKey.dll,該檔案是文本檔案,檔案內容是病毒記錄的視窗信息以及用戶的鍵盤記錄。
2.修改註冊表,將自身添加到自啟動項,修改JPG檔案關聯到病毒程式(病毒並沒有釋放該關聯程式,導致無法正常打開JPG檔案),修改JPG檔案顯示的圖示。
添加鍵值:
HKCR\CLSID\\shell\OpenHomePage\Command\
"默認"="C:\WINNT\Internet.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\
"Internet"="%SystemRoot%\Internet.exe"
HKCR\.jpg\
"默認"="Internet.jpg"
HKCR\Internet.jpg\
"默認"="JPEG Image"
HKCR\Internet.jpg\Shell\Open\Command\
"默認"="C:\WINNT\System32\Image.exe %1"
HKCR\Internet.jpg\DefaultIcon\
"默認"="C:\Program Files\Internet Explorer\iexplore.exe,8"
HKCR\Internet.jpg\
"openFile"="jpegfile"
HKCR\exefile\shell\open\command\
"默認"=""%1" %*"
3.關閉一些常見的安全軟體,如天網防火牆,金山網鏢等。
4.打開後門連線埠51984和1028,等待木馬種植者的連線。
5.記錄用戶的按鍵信息以及對應的視窗標題,保存在檔案%SystemRoot%\EhKey.dll中,然後傳送到指定的信箱。
