通過修改 HKCR\EXEFILE\SHELL\OPEN\COMMAND\(Default) 的鍵值為 "%SYSTEM32%\SVCH0ST.EXE %1 %*" 來修改EXE檔案關聯,使每次打開EXE檔案時都會執行病毒。
基本介紹
- 中文名:Win32.Troj.MimaThief.ei
- 處理時間:2006-08-23
- 威脅級別:★
- 病毒類型:木馬
病毒別名:
中文名稱: 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
1、檔案操作:
將自身複製到%system%目錄下並運行,改名為SVCH0ST.EXE(注意是數字0,不是字母O),並設定檔案屬性為唯讀、隱藏和系統屬性。
在%system%目錄下釋放檔案ntdll32.dll
2、註冊表操作: 添加自啟動項:HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SVCHOST,鍵值為複製體SVCH0ST.EXE路徑。
3、創建名為 MimaThief 的互斥量,保證只有一個病毒體在運行。
4、通過ntdll32.dll檔案來HOOK視窗訊息,如果發現帶有下面所列字樣的視窗,則關閉該視窗所屬的進程:
5、記錄用戶使用各種登入視窗時鍵入的帳號和密碼,並傳送到指定信箱。
