trojan.win32.vb.sj
病毒名称: trojan.win32.vb.sj
病毒类型: 木马
危害等级: 中
文件长度: 20,000 字节
感染系统: windows 9x以上系统
开发工具: Visual Basic
加壳类型: PEConpact v1.4
病毒描述:
该病毒采用 RM 视频图标,诱惑用户点击。感染该病毒后会在 %winnt% 下释放病毒文件 “ taskmgr.exe ”和“ n0tepad.exe ”,类似于系统文件。修改注册表,修改 txtfile 的键值,关联到病毒 n0tepad.exe ,添加启动项,从而达到随系统启动的目的。在 %winntsystem% 下释放 windll.dll 文件。循环检测用户是否运行聊天程序,若捕获到窗口则发送相关信息,诱使其他用户点击,从而达到传播得目的。
行为分析:
1 、释放病毒文件 taskmgr.exe 和 n0tepad.exe ,文件属性:系统,只读,隐藏。
2 、修改注册表:关联病毒体 n0tepad.exe ,添加启动项。
HKEY_CLASS_ROOTxtfileshellopencommand(Default) = "N0TEPAD.EXE %1 "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
taskmgr = "C:WINNTsystemaskmgr.exe"
3 、病毒遍历窗口,若发现用户开启“ Windows 任务管理器”便将其终止,防止用户手动结束病毒。
4 、 %winntsystem% 下释放 windll.dll 文件,内容为“ "AllJapanesArePigs", ”
5 、搜索活动窗体的标题,伺机发送相关信息,每隔 0.2 秒遍历一次。
6 、连接网站 http://www.18hi.com/ (目前已无返访问),下载病毒并运行。