武汉男生木马。
搜集他人帐号密码等私人信息,并发送到指定邮箱。
病毒采用Delphi编写,UPX压缩,使用madCodeHook控件进行远程注入,在windows 平台都能注入运行。病毒运行后有以下破坏行为:
一、将自己复制为以下几个文件:
1.%SYSDIR%\msapi.exe
2.%SYSDIR%\snet.exe
释放文件名为"msapi.dll"的动态库到%SYSDIR%目录下。
病毒使用窗口“WhBoy_Dll”作为运行标记,防止自身重复运行。
二、搜索"EXPlorer.exe"进程,通过修改"Explorer.exe"进程地址空间创建远程
线程的方式,在"Explorer.exe"进程中创建一个用于装载"msapi.dll"动态库的
线程。
三、修改系统文件"SYSTEM.INI"的以下数据以达到自启动的目的:
1.[BOOT]
修改数据项:"SHELL"
设置数据:"%SYSDIR%\msapi.exe"
四、查找并结束以下反病毒软件、防火墙软件的进程:
1.Symantec AntiVirus 企业版
2.江民杀毒软件 KV2004:实时监视
3.RavMon.exe
4.ZoneAlarm
5.天网防火墙个人版
6.天网防火墙企业版
7.密码防盗
8.绿鹰PC
9.QQ病毒专杀工具
10.噬菌体
11.木马克星
12.Iparmor.exe
13.MAILMON.EXE
14.KAVPFW.EXE
并卸载"密码防盗专家 综合版"。
五、获取用户游戏下列信息发送到指定的邮箱内。
用户信息:
区 域:
服务器:
用 户:
密 码:
密 宝:
角 色:
机器名:
IP地址:
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-1-21
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
