概述

病毒行为

概述

病毒别名：Backdoor.Win32.Verify.i[AVP]

处理时间：

威胁级别：★★

中文名称：泡泡幽灵

病毒类型：黑客程序

影响系统：Win9x / WinNT

病毒行为

这是一个记录用户键盘按键信息以及窗口信息的木马病毒。病毒图标与网易泡泡的图标很相似，而且生成一个DLL文件MsIdle32Hook.dll，类似

网易泡泡的一个DLL问，以此迷惑用户。然后通过该DLL来挂钩系统键盘消息，截获用户的按键信息以及对应的窗口信息，保存在系统system32

目录下名为pMK_kLogF.txt、pMK_kLog.txt和pMK_wLog.txt中，到达一定时间将记录的信息发送到指定的邮箱。设置时钟不断的将自身加载到启

动项；发送上线通知到预定网址，打开两个后门端口，等待外界发来的控制命令；悄悄在系统中添加管理员帐号；下载网络文件到本地计算机

运行；文件还包含字符串“Love you *Huong*”

1.将自身复制到%System%\\pVF.pMK下，并%System%在生成以下文件：

MsIdle32Hook.dll

MsIdle32loader.dll

pMK_kLogF.txt

pMK_kLog.txt

pMK_wLog.txt

其中：

MsIdle32Hook.dll用来挂钩系统键盘消息，以此截取用户的按键信息和对应的窗口信息；

MsIdle32loader.dll用来加载木马MsIdle32Hook.dll；

pMK_kLogF.txt、pMK_kLog.txt记录按键信息；

pMK_wLog.txt记录窗口信息；

到达一定时间将记录的信息按键和窗口信息发送到指定的邮箱

%SystemRoot%下生成文件：

csrss.exe

smss.exe

smss.exe病毒运行体。

2.设置时钟设置时钟不断的将自身加载到启动项。

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"csrss.exe"="%SystemRoot%\\csrss.exe"

可能修改注册表禁止打开注册表编辑器和任务管理器：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\

"DisableRegistryTools"=dword:0x1

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\

"DisableTaskMgr"=dword:0x1

3.发送上线通知到预定网址，并到指定的网址下载文件到本地计算机运行。

4.可能将自身复制到局域网中可写目录，以感染更多计算机，开设共享目录，添加管理员帐号。

5.监听端口1906和1907，等待外界攻击者连接，并执行其发来的控制指令。