TrojanSpy.Elelist

1. 病毒運行後，將在用戶計算機中創建以下檔案：

%SystemDir%\mssdk32.dll, 119位元組，

%SystemDir%\mslib32.dll, 24576位元組，

%WinDir%\system\user32.exe, 38400位元組。

2. 在註冊表的

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下創建：

"User Mansger " = “%WinDir%\system\user32.exe”

或修改

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell為：

“Shell” = “Explorer.exe %WinDir%\system\user32.exe”

這樣，病毒在系統啟動時即可運行。

3. 病毒運行後調用mslib32.dll病毒模組，該模組負責設定訊息掛鈎，並對IE頁面控制項進行監視，一旦認定用戶正在某些國外銀行的網頁上進行互動操作，就把各種IE控制項的有關信息（包括用戶名、密碼輸入框，各種選擇框，ComboBox選擇列表等）記錄到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll兩個檔案中。

4. 病毒主程式每隔1秒檢查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在，如果存在，就把這2個檔案中的內容通過電子郵件傳送給病毒作者[email protected]。

註：%Windir%為變數，一般為C:\Windows 或 C:\Winnt；

%System%為變數，一般為C:\Windows\System (Windows 95/98/Me),

C:\Winnt\System32 (Windows NT/2000),

或 C:\Windows\System32 (Windows XP)。