病毒大百科

这是一个盗号木马程序。该程序会修改系统时间来关闭依赖系统时间进行激活和升级的杀毒软件，然后展开全局监视，记录下用户输入的各类敏感信息。

1.程序运行后，生成文件
%WINDOWS%\system32\monb32drv.dll

文件名的第一个和第四个字母是变化的。
释放das.bat
:try
del "C:\Documents and Settings\user\桌面\test.exe"
if exist "C:\Documents and Settings\user\桌面\test.exe" goto try
del %0
exit

2.在注册表中添加了注册项，如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表名称:{D60A0B68-EF3A-A1D2-FD09-3A81A121D2B1}

3.删除文件：%system32%\drivers\etc\Hosts，避免被屏蔽一些网站

4.木马会修改系统时间，来逃避杀软，打开互斥量，寻找全局原子变量，用来判断是否已经有木马在运行；若没有则会创建文件，

调用monb32drv.dll中的函数开始工作。

5.木马会安装全局钩子：钩子类型:WH_GETMESSAGE，监视所有的消息，从而盗取用户的一些私人敏感信息信息。