Win32.Troj.PcRob.vr
病毒别名: 处理时间:2006-08-17 威胁级别:★
中文名称: 病毒类型:木马影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个盗号木马,运行该病毒会释放并执行其他三个独立的盗号病毒,
它们会盗取QQ、游戏等帐号密码,并通过指定的方式发送给盗号者,
建议电脑用户升级杀毒软件和打开防火墙,避免中毒造成损失。
1、生成的文件
%DOCUME~1%ADMINI~1LOCALS~1Tempzhaoqq.exe
%DOCUME~1%ADMINI~1LOCALS~1Tempzhaoms.exe
%DOCUME~1%ADMINI~1LOCALS~1TempQQLive.exe
%SystemRoot%system32
oruns.reg
%SystemRoot%system32SVOHOST.exe
%SystemRoot%system32mswdm.exe
%SystemRoot%WinServer.exe
%SystemRoot%system32systemlr.dll
%Program Files%explorer.exe
%SystemRoot%system32winscok.dll
2、添加注册表启动项
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
"CheckFaultKernel" = "%SystemRoot%system32mswdm.exe"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
"explorer.exe" = "%Program Files%explorer.exe"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
"SoundMam" = "%SystemRoot%system32SVOHOST.exe"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
"WinServer" = "%SystemRoot%WinServer.exe"
3、该病毒安装了多种类型的消息钩子
WH_KEYBOARD、WH_MOUSE,其申请路径为%DOCUME~1%ADMINI~1LOCALS~1TempQQLive.exe
WH_KEYBOARD、WH_CALLWNDPROC,其申请路径为%SystemRoot%system32SVOHOST.exe
WH_JOURNALRECORD,其申请路径为%SystemRoot%WinServer.exe
4、该病毒设置系统不显示隐藏文件
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
"CheckedValue" = "0"