Trojan/WebMoney.Keepcar.a

Trojan/WebMoney.Keepcar.a是一種木馬病毒,盜取WebMoney檔案、獲取剪下板數據並記錄鍵擊,此外還結束反病毒及防火牆軟體的有關進程。

基本介紹

  • 外文名:Trojan/WebMoney.Keepcar.a
  • 病毒長度:16384位元組
  • 類型:病毒
  • 影響平台:Win9X/2000/XP/NT/Me
基本信息,傳播過程,

基本信息

Trojan/WebMoney.Keepcar.a
病毒長度:16384位元組
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me

傳播過程

1.創建檔案:
%System%\load32.exe, 16384位元組
%System%\vxdmgr32.exe, 16384位元組
%WinDir%\win.ini, 8297位元組
%WinDir%\system.ini, 1935位元組
%WinDir%\start menu\programs\啟動\rundllw.exe, 16384位元組
%WinDir%\dllreg.exe, 16384位元組
%WinDir%\sysdrv.exe, 4096位元組
2.在WIN.INI中添加:
run=c:\windows\dllreg.exe
在SYSTEM.INI中添加:
shell=explorer.exe c:\windows\system\vxdmgr32.exe
3.修改註冊表:
/添加鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load32" = %System%\load32.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"ZoneAlarm 2.99" = %WinDir%\sysdrv.exe
4.在啟動選單中添加下列程式:
%WinDir%\start menu\programs\啟動\rundllw.exe
這樣,在Windows啟動時,病毒就可以自動執行。
5.記錄鍵擊,獲取剪下板上的數據,搜尋.pwm和.kwm類型檔案,然後將獲取的所有信息傳送到特定的郵件地址。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。

相關詞條

熱門詞條

聯絡我們