间谍永动机192512
间谍永动机192512威胁级别:★★☆☆☆
病毒类型:黑客程序
病毒长度:36008
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个黑客程序。它的实质是一个记录器,能够非法记录当前的窗口和文本,并发送到病毒作者指定的黑客服务器上。
1. 释放资源中的CONTENT到%windows%msdx.dll
2. 修改注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify项,使系统启动时加载该DLL,在其下面添加了msdxDLLName、msdxLogon、msdxLogoff三个项
3. msdx.dll加载时读取自身,并设置每秒执行该dll中的指定位置的函数TimerFunc,该函数行为如下:
1) 释放msus.dll、update_srv.exe到%windows%目录下
2) 修改注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,将update_srv.exe设置为自启动
4. update_srv.exe主要行为即是加载msus.dll,并执行其SetHook函数,该函数读取当前的窗口以及文本,写入到%windows%msus.lf文件中,并且每隔30秒将信息发送到ftp.narod.ru并清理文件.