Win32.Troj.Executan.38981

王朝百科·作者佚名 2009-12-26

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：木马

影响系统：Win9x/WinNT/Win2000/WinXP/Win2003

病毒行为:

<暂缺>

编写工具:

Microsoft Visual C++ 6.0

传染条件:

无

发作条件:

无

系统修改:

A、自我复制到%System%win32sys.exe

B、在%Temp%下生成两个临时文件，退出时删除。其中较大的一个大小为90112字节，内容为该程序运行需要的一个DLL

C、启动后删除%System%TESTCQ.TXT

D、在注册表的的主键：

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections

修改如下键值为：

"SavedLegacySettings"=

New: Type: REG_BINARY Length: 52 (0x34) bytes

000000: 3C 00 00 00 15 00 00 00 01 00 00 00 00 00 00 00 | <...............

000010: 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 | ................

000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

000030: 00 00 00 00 | ....

Old: Type: REG_BINARY Length: 52 (0x34) bytes

000000: 3C 00 00 00 14 00 00 00 01 00 00 00 00 00 00 00 | <...............

000010: 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 | ................

000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

000030: 00 00 00 00

E、在注册表的主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

中添加如下键值：

"win32sys"="%System%win32sys.exe"

发作现象:

后台运行，能够记录传奇账号,密码,人物,性别

职业,等级,服务器和传奇3的账号,密码,职业,等级,服务器发到

设定的邮箱去。

特别说明:

无