病毒别名：

处理时间：2005-08-10

威胁级别：★

中文名称：

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个贪婪的木马病毒。它从多种格式的文件中搜集他需要的信息，包括用户各种密码，甚至从卡巴斯基日志文件中搜索有用信息；然后分别记录到%windows%\\pass.log,email.log,post.log,html.log,Pstore.log,Server.log等文件中，并通过http和ftp传到指定地址，并下载新木马并运行。该病毒运行后生成%system%\\RFA.dll，并加载BHO，使得病毒RFA.dll随浏览器或ie浏览器一起启动；该病毒会删除自身，达到隐形。该病毒的行为对用户造成了严重的侵犯，给用户造成了严重的损失。

1，生成文件

%system%\\RFA.dll

2，添加注册表

HKEY_CLASSES_ROOT\\CLSID\\

HKEY_CLASSES_ROOT\\RFA.RFA

HKEY_CLASSES_ROOT\\RFA.RFA.1

HKEY_CLASSES_ROOT\\TypeLib\\

HKEY_CLASSES_ROOT\\Interface\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\ (加载BHO，随浏览器启动)

3，生成记录文件

%windows%\\pass.log

%windows%\\email.log

%windows%\\post.log

%windows%\\html.log

%windows%\\Pstore.log

%windows%\\Server.log

等

4，会从以下文件中搜集信息

*.*ht*

*.tx*

*.pl*

*.ph*

*.asp

*.tbb

*.wab

*.adb

*.dbx

*.msg

*.oft

*.doc

*.uin

*.rtf

*.vbs

*.eml

*.xls

*.xml

5，通过ftp及http上传及下载文件