病毒概述
病毒別名:
處理時間:
威脅級別:★★
中文名稱:
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為:
病毒特性
該病毒是Worm.Mydoom.ao釋放出來,用於竊取用戶的銀行的帳號和密碼。竊取的帳號包括:網上支付、建設銀行 、農業銀行 、招商銀行 、工商銀行 、淘寶網 等,並通過電子郵件進行發給病毒的製作者。
1、病毒生成如下檔案
"%System%\rplsvr.exe" (木馬本身)
"%System%\systems.dll"(記錄檔案)
2、添加註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Systems" = "%System%\Systems.exe"
使得病毒在計算機在啟動時運行。
3、創建類名為
"Systems"
視窗名為
"jia jia"
的視窗
4、生成以下互斥量
GMKRunOnlyOne
以保證只有一個病毒進程運行
5、當前視窗名含有以下字元時
網上支付
建設銀行
農業銀行
招商銀行
工商銀行
淘寶網
淘寶旺旺
支付寶
開始記錄鍵盤操作。
6、對於特殊按鍵使用以下符號替代:
【DEL】
【INS】
【DF】
【RF】
【UF】
【LF】
【HOME】
【END】
【PD】
【PU】
【SP】
【ESC】
【EN】
【TAB】
【BK】
【F12】
【F11】
【F10】
【F9】
【F8】
【F7】
【F6】
【F5】
【F4】
【F3】
【F2】
【F1】
7、將獲得的密碼保存在
%system%\systems.dll
中,並將記錄檔案傳送給用病毒作者
8、systems.dll檔案格式內容為:
<>
2005-10-1 %視窗標題% %鍵盤記錄%
9、記錄檔案通過 smtp.163.com 伺服器傳送到 [email protected]信箱中
10、其發郵件使用的賬號為
xqq_from
密碼為
li654321
(出於安全考慮,已將此密碼修改,以阻止其發用戶信息)
