病毒行为:

盗号木马,病毒在 system32 目录下释放病毒文件,并创建注册表启动项,以达到病毒开机自启动。病毒通过创建线程不断修改注册表,禁用"系统自动更新"和"系统防火墙"两个功能,会通过内存读写的方式盗取客户计算机上网络游戏《刀剑》的帐号信息。

病毒运行后把自身拷贝至:

%windir%\\system32\\sidjaaz.exe

并释放病毒文件:

%windir%\\system32\\sidjacs.dll

%windir%\\system32\\sidjazy.dll

%windir%\\Fonts\\cadaafx.fon

病毒添加注册表启动项:

Key:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks

Value:"{18847374-8323-FADC-B443-4732ABCD3781}"

Data:"sidjazy.dll"

病毒添加注册表:

Key:HKEY_CLASSES_ROOT\\CLSID\\{18847374-8323-FADC-B443-4732ABCD3781}\\InprocServer32

Value:"@"

Data:"%windir%\\system32\\sidjazy.dll"

Key:HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{18847374-8323-FADC-B443-4732ABCD3781}\\InprocServer32

Value:"@"

Data:"%windir%\\system32\\sidjazy.dll"

病毒修改注册表:

Key:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows

Value:"AppInit_DLLs"

Before Data:""

After Data:"sidjazy.dll"

查找计算机上的 system32 目录下是否存在 "verclsid.exe" 文件,有则创建批处理文件删除。

创建批处理文件删除以下目录下的所有 cfg 后缀名的文件:

C:\\Program Files\etMeeting\\

D:\\Program Files\etMeeting\\

%windir%\\system32\\

创建线程不断修改注册表,禁用"系统自动更新"和"系统防火墙"两个功能。

通过读写内存的方式盗取客户计算机上的网络游戏《刀剑》的帐号信息。