病毒别名：

处理时间：

威胁级别：★★

中文名称：伪装者

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

lcc

传染条件:

该木马是一个偷取各种程序缓存中的帐号和密码的病毒程序, 同时也伪装成各种正常程序的登陆窗口来诱使用户输入帐号和密码.

发作条件:

木马运行后会搜索缓存中的帐号密码并通过邮件发送给攻击者.

系统修改:

1,通过打开护持体"QueenKarton_12"来防止多次运行.

2,拷贝自身到%System%<8八个字母构成>.exe.

3,在%System%生成一个<8八个字母构成>.dll

4,在%Temp%生成一个<8八个字母构成>.html文件

5,运行时会打开tat-neftbank.ru的银行网页

6,修改注册表

HKEY_CLASSES_ROOTCLSIDInProcServer32

"(Default)" = "<8 random characters>.dll"

"ThreadingModel" = "Apartment"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

"Web Event Logger" = ""

HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowseNewProcess

"BrowseNewProcess" = "yes"

7,这时候木马开始记录用户输入的银行帐号和密码,并用Email发送给攻击者

发作现象:

木马运行后会主动打开tat-neftbank.ru的主页,并欺骗用户输入帐号密码

特别说明:

当用户在没有主动访问各种银行网页,但弹出来要求输入帐号密码窗口时,一般应该谨慎选择.