病毒别名：

处理时间：

威胁级别：★★

中文名称：蜜蜂大盗

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

bcb编写

传染条件:

用户误运行

发作条件:

运行后在用户系统设置后门,同时泄漏用户本机的一些信息,如主机名,ip等

系统修改:

1,拷贝自身到:

%System%<原始文件名>.exe.tmp

%System%<原始文件名>.exe

%Windir%IsUninst.exe

%Windir%IsUn0404.exe

%Windir%IsUn0804.exe

2,把%System%下所有扩展名为.scr的文件用自身覆盖.

3,添加注册表键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"internet" = "%System%.exe"

4,修改注册表键值:

HKEY_CLASSES_ROOT xtfileshellopencommand

"(Default)" = "%System%.exe" "%1"

HKEY_CURRENT_USERControl PanelDesktop

"ScreenSaveTimeout"="60"

5,添加键值:

HKEY_CURRENT_USERControl PanelDesktop

"SCRNSAVE.EXE"="%System%sstext3d.scr"

6,覆盖C:AUTOEXEC.BAT的内容为:

net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >C:BOOTEX.LOG

7,在UDP 2222端口开设后门,等待攻击者的链接.

8,同时记录键盘按键,进行屏幕截图,进行收集用户信息的行动.

发作现象:

用户会发现C:AUTOEXEC.BAT的内容为:

net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >C:BOOTEX.LOG

特别说明: