概述

病毒行为:

概述

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

这是一个用VB编写的木马病毒。该病毒会修改JPG文件关联到病毒程序，并修改JPG文件显示的图标。病毒由于编写上的缺陷并没有释放该文件，导致无法正常打开JPG文件。病毒还生成Wininit.ini，用来将病毒副本替换掉病毒文件，以防止被删除。病毒会关闭常见的安全软件，如天网防火墙等，然后打开后门端口51984和1028等待黑客连接。病毒还会记录用户的按键信息以及对应的窗口标题，保存在本地硬盘中，当记录的信息达到一定大小的时候再发送到指定的邮箱。

病毒行为:

1.将自身复制为：%SystemRoot%\\Internet.exe，%System%\\EtHorse.dll，并释放文件%System%\\MSWINSCK.OCX（VB的winsock控件，病毒运行需要此文件）；

生成文件%SystemRoot%\\Wininit.ini，文件内容为：

[rename]

C:\\WINNT\\Internet.exe=C:\\WINNT\\System32\\EtHorse.dll

C:\\WINNT\\System32\\Image.exe=C:\\WINNT\\System32\\EtImg.ocx

用病毒副本替换当前的病毒文件。

生成文件%SystemRoot%\\EhKey.dll，该文件是文本文件，文件内容是病毒记录的窗口信息以及用户的键盘记录。

2.修改注册表，将自身添加到自启动项，修改JPG文件关联到病毒程序（病毒并没有释放该关联程序，导致无法正常打开JPG文件），修改JPG文件显示的图标。

添加键值：

HKCR\\CLSID\\\\shell\\OpenHomePage\\Command\\

"默认"="C:\\WINNT\\Internet.exe"

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run\\

"Internet"="%SystemRoot%\\Internet.exe"

HKCR\\.jpg\\

"默认"="Internet.jpg"

HKCR\\Internet.jpg\\

"默认"="JPEG Image"

HKCR\\Internet.jpg\\Shell\\Open\\Command\\

"默认"="C:\\WINNT\\System32\\Image.exe %1"

HKCR\\Internet.jpg\\DefaultIcon\\

"默认"="C:\\Program Files\\Internet Explorer\\iexplore.exe,8"

HKCR\\Internet.jpg\\

"openFile"="jpegfile"

HKCR\\exefile\\shell\\open\\command\\

"默认"=""%1" %*"

3.关闭一些常见的安全软件，如天网防火墙，金山网镖等。

4.打开后门端口51984和1028，等待木马种植者的连接。

5.记录用户的按键信息以及对应的窗口标题，保存在文件%SystemRoot%\\EhKey.dll中，然后发送到指定的邮箱。