病毒别名： 处理时间：2006-08-23 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

1、文件操作：

将自身复制到%system%目录下并运行，改名为SVCH0ST.EXE(注意是数字0，不是字母O)，并设置文件属性为只读、隐藏和系统属性。

在%system%目录下释放文件ntdll32.dll

2、注册表操作： 添加自启动项：HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\SVCHOST，键值为复制体SVCH0ST.EXE路径。

通过修改 HKCR\\EXEFILE\\SHELL\\OPEN\\COMMAND\\(Default) 的键值为 "%SYSTEM32%\\SVCH0ST.EXE %1 %*" 来修改EXE文件关联，使每次打开EXE文件时都会执行病毒。

3、创建名为 MimaThief 的互斥量，保证只有一个病毒体在运行。

4、通过ntdll32.dll文件来HOOK窗口消息，如果发现带有下面所列字样的窗口,则关闭该窗口所属的进程：

江民， 瑞星， 金山， 噬菌体， 木马克星， Symantec， 天网防火墙， 绿鹰

5、记录用户使用各种登陆窗口时键入的帐号和密码，并发送到指定邮箱。