Win32.Hack.PCShare.c是黑客程式,該病毒會盜取用戶重要信息(如QQ密碼等),查找用戶的地址信息IP位址及地理位置,並且會記錄用戶的鍵盤活動,遠程抓圖,遠程錄音·竊取用戶QQ聊天記錄等等·
基本介紹
- 中文名:透視眼
- 外文名:Win32.Hack.PCShare.c
- 病毒類型:黑客程式
- 影響系統:Win9x / WinNT
- 威脅級別:★★
傳播過程
1.生成檔案:
%SystemDir%\IsUn0404.exe
%SystemDir%\IsUn0804.exe
%SystemDir%\services.exe
%SystemDir%\AUTOEXEC.BAT
%SystemDir%\BOOTEX.LOG
2.修改檔案:
%System%\logon.scr
%System%\scrnsave.scr
%System%\ss3dfo.scr
%System%\ssbezier.scr
%System%\ssflwbox.scr
%System%\ssmarque.scr
%System%\ssmaze.scr
%System%\ssmyst.scr
%System%\sspipes.scr
%System%\ssstars.scr
%System%\sstext3d.scr
%System%\頻道螢幕保護程式.scr
3.修改防火牆規則,逃避防火牆的阻攔.
4.添加註冊表起始項,使病毒開機運行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
internet
"C:\WINNT\system\services.exe"
5.修改檔案關聯:
txt關聯:
HKCR\txtfile\shell\open\command
@
"C:\WINNT\system\services.exe" "%1"
HKLM\SOFTWARE\Classes\txtfile\shell\open\command
@
"C:\WINNT\system\services.exe" "%1"
6.修改屏保設定:
屏保:
HKCU\Control Panel\Deskto
ScreenSaveActive
1
HKCU\Control Panel\Deskto
ScreenSaveTimeOut
60
HKCU\Control Panel\Deskto
SCRNSAVE.EXE
C:\WINNT\System32\sstext3d.scr
7.修改註冊表:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance\Folder\Hidden\SHOWALL
CheckedValue
00000001
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance\Folder\Hidden\NOHIDDEN
CheckedValue
00000002
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance\Folder\Hidden\SuperHidden
CheckedValue
00000000
