病毒名称：Trojan-Spy.Win32.KeyLogger.ns

病毒大小：40960 bytes

加壳方式：N/A

样本MD5：5fa6d779855ec725c94538c528bc9f14

样本SHA1：9a719423b0731c43ecb9e17029a090f3765ae412 字串1

行为分析： 字串4

病毒运行后，生成文件：

c:\TDETECT.EXE（自身）

c:\\48a0948cf852a9.6f590a\\mrt.exe（自身）

c:\\check.dll

c:\\bootstat.sys

字串9

病毒创建进程：

MSSetup.exe

mrt.exe

NTDETECT.EXE

字串2

病毒添加的注册表项：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"MSSetup"="c:\\48a0948cf852a96f590a\\mrt.exe"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"SysBoot"="c:\tdetect.exe" 字串3

安装全局钩子，记录.键盘操作

字串1

病毒尝试调用IE打开作者的BLOG：

blog.ik8.com/qwx

用BLOG做广告是.要打PP的哈~

字串7

手动清除方法：

1，结束进程：

MSSetup.exe

mrt.exe

NTDETECT.EXE

2，删除文件：

c:\TDETECT.EXE

c:\\48a0948cf852a96f.590a\\mrt.exe

c:\\check.dll

c:\\bootstat.sys

3，删除注册表项：

[HKEY_LOCAL_MACHIN.E\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"MSSetup"="c:\\48a0948cf852a96f590a\\mrt.exe"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"SysBoot"="c:\tdetect.exe" 字串4