基本介紹
- 中文名:Windows大盜
- 外文名:Win32.Troj.Bubbles
- 處理時間:2004-02-17
- 威脅級別:★★
- 影響系統:Win9x/WinMe/Win2000/WinXP
- 病毒類型:木馬
- 編寫工具:Delphi, UPX壓縮
- 傳染條件:圖示偽裝成記事本圖示,誘騙用戶點擊安裝
系統修改,特別說明,
系統修改
A、釋放三個檔案至系統安裝目錄:
%WinDir%ubbles.bmp, %WinDir%Wimdow.exe, %WinDir%wingina.dll
B、若系統為Win2000/WinXP/Win2003,則在註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon
修改如下鍵值:
"Userinit" = "%System%userinit.exe, %WinDir%Wimdow.exe"
若系統為Win9x/WinMe,則在註冊表主鍵:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加如下鍵值:
"Wimdow.exe" = "c:windowsWimdow.exe"
發作現象:
特別說明
A.該病毒感染後隨系統一同啟動,在後台運行;
B.記錄IE保存的FTP站點密碼,螢幕保護密碼,BIOS密碼,超級用戶密碼,用戶密碼,NT/2K/XP系統登入密碼,快取密碼,螢幕保護密碼,FoxMail密碼,IE自動完成密碼,OUTLOOK密碼,MSN密碼等,並將它記錄下來的這些信息保存在bubbles.bmp內,定期傳送郵件給指定信箱.
(其中NT/2K/XP系統登入密碼,快取密碼對於Win9x/WinMe系統無法獲取)