病毒大小:21,929 字节
病毒种类:键盘记录木马
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24 +修改程序入口点
编写语言:Borland Delphi 6.0 - 7.0
指纹效验:
SHA-160 : C64507BB60497774670B6A2B1BD02A106EEE3067 MD5 : 8F8EA016A7D0D2FE3EF1BB338DA8D087 RIPEMD-160 : FB8B9BDAEB64A869521A47AC0DC478B8E313DEC5 CRC-32 : 14E94F72
测试平台:win2000PROSP4+VM
病毒行为:
病毒system.bat运行后在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下生成NewInfo.bak、NewInfo.rxk、system.2dt三个文件,经测试system.2dt为system.bat的副本文件,NewInfo.bak为NewInfo.rxk的备份文件(PS:现在的病毒可是花样百出,bak都想到了),将NewInfo.rxk作为线程注入到explorer.exe进程中,修改注册表达到自启动目的。
注册表修改:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk> |