Trojan/PSW.MiFeng.70病毒大小：859,136传播方式：网络传播压缩方式：aspack软件类型：木马危害程度：**该病毒名为“蜜蜂大盗”，7.0版本。有强大的信息窃取、远程监控功能。病毒具有窃取几乎所有的密码，自动打开染毒者的摄像头，进行远程监控、远程摄像、遥控QQ、中止防火墙等五种危害。该病毒自身为合成文件，运行木马程序后，进程优先级较高不能正常手工清除，用户用KV杀毒软件直接清除。

感染过程：

1.利用“蜜蜂大盗”生成木马程序运行。

2.病毒运行后将创建下列文件(Trojan.exe为生成木马程序)，并且修改默认的屏幕保护程序，使病毒每隔一段时间自动运行。

%SystemDir%\\Trojan.exe, 829316字节，木马本身

%SystemDir%\\三维管道.scr, 829316字节

%SystemDir%\\三维变形物.scr, 829316字节

%SystemDir%\\飞行 windows.scr, 829316字节

%SystemDir%\\三维飞行物.scr, 829316字节

%SystemDir%\\三维迷宫.scr, 829316字节

%SystemDir%\\三维文字.scr, 829316字节

%WinDir%\\isuninst.exe, 829316字节

%WinDir%\\isun0804.exe, 829316字节

%WinDir%\\isun0404.exe, 829316字节

并在SYSTEM.INI中添加：

scrnsave.exe=c:\\windows\\system\\三维文字.scr

3.病毒通过修改下列注册表键值，修改文件关联：

[HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command]

"" = "c:\\windows\\system\\Trojan.exe" "%1"

这样，用户打开任何txt文件，都会再次运行病毒程序。

病毒具体危害如下：

1．窃取密码

该病毒窃取几乎所有的密码及相关信息，包括：QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、传奇、佣兵传说等（包含帐号、区等相关信息）；网页上的信息，如：邮箱、论坛、密保等（含用户名、密码等相关信息），甚至是打在图片上的密码。病毒记录键盘及鼠标动作，无论用户以何种方式输入密码（如：从某处粘贴、输入一部分然后粘贴一部分、在号码前加0、先故意输入错误密码然后删除错误部分等），病毒都会截到，并只盗取最后一次输入且正确的密码。病毒还自带过滤程序，智能识别所盗密码是否完整（如半截密码，重复密码），使得盗取密码准确率更高。

2. 远程监控

该病毒有远程监控的功能，类似于国产冰河、灰鸽子等黑客控制软件。该功能可以使黑客监控感染病毒的计算机，在不经任何授权的情况下，非法观看远程桌面、远控鼠标、键盘，以及所有资源/文件，并可以控制上传下载。该病毒支持公网控制公网，内网控制内网，内网控制公网，公网控制内网，对家庭用户和网吧用户威胁巨大。

3. 远程摄像

该病毒具有远程摄像功能。带摄像头的计算机被感染后，不知不觉中用户被黑客偷窥。

4. 远控QQ和QQ尾巴

该病毒利用QQ漏洞，会迫使染毒计算机QQ关闭，迫使重新登陆，间隙之中盗取QQ密码。病毒还会监控QQ聊天窗口，发送恶意信息、网站等。

5.强行关闭防火墙

该病毒自动检测感染计算机是否安装防火墙（病毒防火墙、邮件防火墙、防黑墙）一旦发现强行结束，使直无法检测到黑客的链接操控。

6.自动下载运行

该病毒生成xxx.bmp和xxx.htm两个文件，如果将这两个文件上传到个人主页空间（动、静态空间均可），当访问xxx.htm，会利用IE漏洞自动下载木马病毒（IE不会有任何提示）并运行。

7.获取IP地址

病毒在窃取的信息中，包括IP地址及其对应的真实物理地址。黑客可以利用泄露的IP地址进行攻击。

8.图标伪装

该病毒可以定制木马的图标，在很大程度上欺骗诱导用户运行。

注：%WinDir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。