病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

该病毒是Worm.Mydoom.ao释放出来，用于窃取用户的银行的帐号和密码。窃取的帐号包括：网上支付、建设银行 、农业银行 、招商银行 、工商银行 、淘宝网 等，并通过电子邮件进行发给病毒的制作者。

1、病毒生成如下文件

"%System%\\rplsvr.exe" （木马本身）

"%System%\\systems.dll"（记录文件）

2、添加注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Systems" = "%System%\\Systems.exe"

使得病毒在计算机在启动时运行。

3、创建类名为

"Systems"

窗口名为

"jia jia"

的窗口

4、生成以下互斥量

GMKRunOnlyOne

以保证只有一个病毒进程运行

5、当前窗口名含有以下字符时

网上支付

建设银行

农业银行

招商银行

工商银行

淘宝网

淘宝旺旺

支付宝

开始记录键盘操作。

6、对于特殊按键使用以下符号替代：

[DEL]

[INS]

[DF]

[RF]

[UF]

[LF]

[HOME]

[END]

[PD]

[PU]

[SP]

[ESC]

[EN]

[TAB]

[BK]

[F12]

[F11]

[F10]

[F9]

[F8]

[F7]

[F6]

[F5]

[F4]

[F3]

[F2]

[F1]

7、将获得的密码保存在

%system%\\systems.dll

中，并将记录文件发送给用病毒作者

8、systems.dll文件格式内容为：

<>

2005-10-1 %窗口标题% %键盘记录%

9、记录文件通过 smtp.163.com 服务器发送到 xqq_to@163.com 邮箱中

10、其发邮件使用的账号为

xqq_from

密码为

li654321

(出于安全考虑，已将此密码修改，以阻止其发用户信息)