Win32.Troj.PswGame.jh

病毒别名： 处理时间：2006-08-10 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个盗号木马。病毒运行后会监视系统并记录用户的游戏登陆帐号和密码，并把这些帐号密码发送到指定的电子邮箱里。

1、生成的文件

%SystemRoot%system32error.dat

%SystemRoot%SYSTEM32MSISEXEC.EXE

%SystemRoot%system32systask.dll

%SystemRoot%system32wdata32.dll

2、添加注册表启动项

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

"msisexec" = "C:WINNTSYSTEM32MSISEXEC.EXE"

3、修改注册表HKEY_CURRENT_USER默认属性值

HKCU"(Default)" = "C:WINNTSYSTEM32MSISEXEC.EXE"

4、该病毒在系统中安装了类型为WH_CBT、WH_MSGFILTER、WH_CALLWNDPROC、WH_GETMESSAGE的四个钩子。其申请进程路径都是“%SystemRoot%SYSTEM32MSISEXEC.EXE”。

5、该病毒记录的用户数据会保存在文件wdata32.dll中。

6、该病毒的主程序MSISEXEC.EXE运行后，会把error.dat文件删除。