§ 简介

威胁级别：★

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

§ 病毒行为

该病毒是一个盗号木马。该病毒盗取雅虎通、MSN、GASH等帐号密码，并将盗取的帐号密码以邮件发送给盗号者。建议电脑用户升级病毒库查杀该病毒，以免中毒造成损失。

1、生成的文件

C:\\WINNT\\system32\\hs4viewer.dll

C:\\WINNT\\avp.exe

2、添加驱动

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"Type" = "0x1"

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"Start" = 0x2"

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"ImagePath" = "\\SystemRoot\\System32\\drivers\\ws2ifsl.sys"

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"DisplayName" = "Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"

3、添加伪系统服务

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"Type" = "0x10"

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"Start" = "0x2"

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"ImagePath" = "C:\\WINNT\\avp.exe"

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"DisplayName" = "Audio Adapter"

4、修改SPI，其DLL路径为C:\\WINNT\\system32\\hs4viewer.dll。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000001

5、在系统目录下生成delplme.bat批处理文件实现自删除。

• 音诲
• 音读
• 音质缺陷
• 音贶
• 音辞
• 音速感悟
• 音问
• 音问相继
• 音闻
• 音阶
• 音隐忍者
• 音韵
• 音韵修辞格
• 音频信噪比
• 音频卡
• 音频变压器
• 音频录制格式
• 音频指纹技术
• 音频播放格式
• 音频端口
• 音频系统
• 音频试验负载
• 音频负载
• 音频输入
• 音频输出