trojan.win32.vb.sj

病毒名称： trojan.win32.vb.sj

病毒类型： 木马

危害等级： 中

文件长度： 20,000 字节

感染系统： windows 9x以上系统

开发工具： Visual Basic

加壳类型： PEConpact v1.4

病毒描述：

该病毒采用 RM 视频图标，诱惑用户点击。感染该病毒后会在 %winnt% 下释放病毒文件 “ taskmgr.exe ”和“ n0tepad.exe ”，类似于系统文件。修改注册表，修改 txtfile 的键值，关联到病毒 n0tepad.exe ，添加启动项，从而达到随系统启动的目的。在 %winntsystem% 下释放 windll.dll 文件。循环检测用户是否运行聊天程序，若捕获到窗口则发送相关信息，诱使其他用户点击，从而达到传播得目的。

行为分析：

1 、释放病毒文件 taskmgr.exe 和 n0tepad.exe ，文件属性：系统，只读，隐藏。

2 、修改注册表：关联病毒体 n0tepad.exe ，添加启动项。

HKEY_CLASS_ROOTxtfileshellopencommand(Default) = "N0TEPAD.EXE %1 "

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

taskmgr = "C:WINNTsystemaskmgr.exe"

3 、病毒遍历窗口，若发现用户开启“ Windows 任务管理器”便将其终止，防止用户手动结束病毒。

4 、 %winntsystem% 下释放 windll.dll 文件，内容为“ "AllJapanesArePigs", ”

5 、搜索活动窗体的标题，伺机发送相关信息，每隔 0.2 秒遍历一次。

6 、连接网站 http://www.18hi.com/ （目前已无返访问），下载病毒并运行。