密码大盗病毒

病毒名称：TrojanSpy.MimaThief.10

病毒类型：特洛伊木马

病毒大小：25088，10752字节

传播方式：网络

危害等级：**

2005年1月26江民反病毒中心率先截获特洛伊木马：密码大盗（TrojanSpy.MimaThief.10），该木马假装是qq升等级的挂机工具，通过安装windows钩子和子类化 IE 服务器窗口（Internet Explorer_Server）来盗取用户在网页上输入的敏感信息。

具体技术特征如下：

1. 在感染计算机上释放下列文件：

%SystemDir%mmdat.dat 记录病毒原始目录

%SystemDir%intrenat.exe病毒主程序

%SystemDir%

tdll32.dll 钩子模块

%SystemDir%wdata32.dll 记录用户输入数据

2．在注册表中添加下列启动项：

在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"Intrenat" = %SystemDir%intrenat.exe

这样，在Windows启动时，病毒就可以自动执行。

病毒通过修改下列注册表键值，修改文件关联：

[HKEY_CLASSES_ROOTexefileshellopencommand]

"" = c:winntsystem32intrenat.exe %1 %*

这样，用户打开任何exe文件，都会再次运行病毒程序。

3．安装钩子，子类化IE服务器窗口（Internet Explorer_Server），当发现网页上有以下一些字符时开始记录用户输入信息。

Password

Text

密码：

Reset

Submit

4．将记录的用户信息发往指定邮箱 。