Trojan-Spy.Win32.KeyLogger.ns

病毒名称：Trojan-Spy.Win32.KeyLogger.ns

病毒大小：40960 bytes

加壳方式：N/A

样本MD5：5fa6d779855ec725c94538c528bc9f14

样本SHA1：9a719423b0731c43ecb9e17029a090f3765ae412 字串1

行为分析： 字串4

病毒运行后，生成文件：

c:NTDETECT.EXE（自身）

c:48a0948cf852a9.6f590amrt.exe（自身）

c:check.dll

c:ootstat.sys

字串9

病毒创建进程：

MSSetup.exe

mrt.exe

NTDETECT.EXE

字串2

病毒添加的注册表项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"MSSetup"="c:48a0948cf852a96f590amrt.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"SysBoot"="c:

tdetect.exe" 字串3

安装全局钩子，记录.键盘操作

字串1

病毒尝试调用IE打开作者的BLOG：

blog.ik8.com/qwx

用BLOG做广告是.要打PP的哈~

字串7

手动清除方法：

1，结束进程：

MSSetup.exe

mrt.exe

NTDETECT.EXE

2，删除文件：

c:NTDETECT.EXE

c:48a0948cf852a96f.590amrt.exe

c:check.dll

c:ootstat.sys

3，删除注册表项：

[HKEY_LOCAL_MACHIN.ESOFTWAREMicrosoftWindowsCurrentVersionRun]

"MSSetup"="c:48a0948cf852a96f590amrt.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"SysBoot"="c:

tdetect.exe" 字串4