病毒大百科

这是一个盗号木马程序。该病毒修改注册表实现自动启动，然后在IE浏览器的后面创造一个IE服务器，以此截获用户浏览网页时输入的各种帐号和密码，达到盗号目的。

1.程序运行后，生成文件
%WINDOWS%\system32\MSetole.dll
%WINDOWS%\system32\serve.exe

2.程序运行后删除自身原始文件

3.在注册表中添加了注册项，如下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32RegEdit
项名:ImagePath 对应路径:hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,73,65,72,76,65,2e,65,78,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32REGEDIT\0000\Control
项名:ActiveService 对应值: "Win32RegEdit"

4.木马冒充Internet Explorer_Server,创建个IE服务器
,相当于在你和真正的服务器之间被他截取了一次,通过截取用户输入的相关帐号信息，以网页报表(Host: %s)的方式将相关信息用

a=%s&p=%s&g=%s&s=%s&n=%s&l=%s...的格式发送出去。