概述
病毒別名:處理時間:2005-01-13
威脅級別:★★
中文名稱:武漢男生2005
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為:
這是一個竊取傳奇網遊密碼的木馬病毒,是武漢男生2005系列的第10個變種。1、將自身拷貝到 %System%\whboy.exe
2、將自身拷貝到 %WindowsRoot%\bak.exe
3、釋放dll檔案到 %System%\whboy.dll,該檔案毒霸命名為 Win32.Troj.WHBoy2005Dll.j.123392
4、將釋放的dll注入到 explorer.exe 進程
5、在註冊表以下位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改值 "Shell"
為 "Shell" = "Explorer.exe %System%\whboy.exe"
6、該病毒會通過 QQ、MSN、UC、POPO2004 向好友傳送訊息,誘騙好友點擊帶毒網站地址,導致好友系統感染病毒。
新增加內容如下:
如果點擊病毒網頁將顯示美女圖片,同時彈出標題為“ASP空間”的不可見視窗。此網頁利用IE漏洞,下載並運行leoexe.gif和leo.asp檔案,其中leoexe.gif是exe類型的病毒體,leo.asp是病毒釋放器;每隔一段時間給QQ網友傳送信息,病毒運行後複製自身到系統目錄下,檔案名稱是updater.exe、Systary.exe、sysnot.exe,修改文本檔案(*.txt)關聯和執行檔關聯,用戶運行任意的txt檔案和exe檔案都會激活病毒。病毒在計算機中搜尋傳奇遊戲的帳戶密碼以及其他信息,傳送到指定信箱。
清除病毒方法是,刪除病毒在系統目錄下釋放的病毒檔案,刪除病毒在註冊表下生成的鍵值,運行防毒軟體,對病毒進行全面清除。
