該病毒採用 RM 視頻圖示,誘惑用戶點擊。感染該病毒後會在 %winnt% 下釋放病毒檔案 “ taskmgr.exe ”和“ n0tepad.exe ”,類似於系統檔案。修改註冊表,修改 txtfile 的鍵值,關聯到病毒 n0tepad.exe ,添加啟動項,從而達到隨系統啟動的目的。在 %winnt\system% 下釋放 windll.dll 檔案。循環檢測用戶是否運行聊天程式,若捕獲到視窗則傳送相關信息,誘使其他用戶點擊,從而達到傳播得目的。
基本介紹
- 外文名:trojan.win32.vb.sj
- 病毒類型:木馬
- 危害等級:中
- 開發工具:Visual Basic
病毒名稱: trojan.win32.vb.sj
檔案長度: 20,000 位元組
感染系統: windows 9x以上系統
加殼類型: PEConpact v1.4
行為分析:
1 、釋放病毒檔案 taskmgr.exe 和 n0tepad.exe ,檔案屬性:系統,唯讀,隱藏。
2 、修改註冊表:關聯病毒體 n0tepad.exe ,添加啟動項。
HKEY_CLASS_ROOT\txtfile\shell\open\command\(Default) = "N0TEPAD.EXE %1 "
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
taskmgr = "C:\WINNT\system\taskmgr.exe"
3 、病毒遍歷視窗,若發現用戶開啟“ Windows 任務管理器”便將其終止,防止用戶手動 結束病毒。
4 、 %winnt\system% 下釋放 windll.dll 檔案,內容為“ "AllJapanesArePigs", ”
5 、搜尋活動窗體的標題,伺機傳送相關信息,每隔 0.2 秒遍歷一次。
6 、連線網站 http://www.18hi.com/ (目前已無返訪問),下載病毒並運行。
