Win32.Troj.MimaThief.ei
病毒别名: 处理时间:2006-08-23 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
1、文件操作:
将自身复制到%system%目录下并运行,改名为SVCH0ST.EXE(注意是数字0,不是字母O),并设置文件属性为只读、隐藏和系统属性。
在%system%目录下释放文件ntdll32.dll
2、注册表操作: 添加自启动项:HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesSVCHOST,键值为复制体SVCH0ST.EXE路径。
通过修改 HKCREXEFILESHELLOPENCOMMAND(Default) 的键值为 "%SYSTEM32%SVCH0ST.EXE %1 %*" 来修改EXE文件关联,使每次打开EXE文件时都会执行病毒。
3、创建名为 MimaThief 的互斥量,保证只有一个病毒体在运行。
4、通过ntdll32.dll文件来HOOK窗口消息,如果发现带有下面所列字样的窗口,则关闭该窗口所属的进程:
江民, 瑞星, 金山, 噬菌体, 木马克星, Symantec, 天网防火墙, 绿鹰
5、记录用户使用各种登陆窗口时键入的帐号和密码,并发送到指定邮箱。