Win32.Troj.PswGame.jh
病毒别名: 处理时间:2006-08-10 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个盗号木马。病毒运行后会监视系统并记录用户的游戏登陆帐号和密码,并把这些帐号密码发送到指定的电子邮箱里。
1、生成的文件
%SystemRoot%system32error.dat
%SystemRoot%SYSTEM32MSISEXEC.EXE
%SystemRoot%system32systask.dll
%SystemRoot%system32wdata32.dll
2、添加注册表启动项
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
"msisexec" = "C:WINNTSYSTEM32MSISEXEC.EXE"
3、修改注册表HKEY_CURRENT_USER默认属性值
HKCU"(Default)" = "C:WINNTSYSTEM32MSISEXEC.EXE"
4、该病毒在系统中安装了类型为WH_CBT、WH_MSGFILTER、WH_CALLWNDPROC、WH_GETMESSAGE的四个钩子。其申请进程路径都是“%SystemRoot%SYSTEM32MSISEXEC.EXE”。
5、该病毒记录的用户数据会保存在文件wdata32.dll中。
6、该病毒的主程序MSISEXEC.EXE运行后,会把error.dat文件删除。