病毒大百科

这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播，进入用户电脑后会修改注册表实现自启动，然后记录用户的键盘操作。

1.释放病毒文件
%system32%\xxyXpMFV.dll
%SYSTEM32%\xxyXpMFV.exe
%SYSTEM32%\drivers\xxyXpMFV.sys

文件名都是随机生成的

2.创建键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyXpMFV
"Startup"="logon_startup"
"Impersonate"=""
"DllName"="xxyXpMFV.dll"
"Asynchronous"=""

HKLM\System\CurrentControlSet\Services\xxyXpMFV
"Type"=""
"ErrorControl"=""
"Start"=""
"DisplayName"="xxyXpMFV"
"ImagePath"="\%system32%\drivers\xxyXpMFV.sys"

3.病毒会用cmd命令删除自身

4.在注册表中创建0xbe8e2ce1, 0xdab6, 0x11d6, 0xad, 0xd0, 0x0, 0xe0, 0x4c, 0x53, 0xf6, 0xe6互斥量。

往U盘里复制xxyXpMFV.exe和Autorun.inf
Autorun.inf，大小83字节，内容如下：
[AutoRun]
shell=verb1
shell\verb1\command=xxyXpMFV.exe -showU
shell\verb1=Open

5. xxyXpMFV.dll的行为：
监控Active Windows Title，记录键盘[DEL] [INS] [DF] [RF] [UF] [LF] [HOME] [END] [PD] [PU] [SP] [ESC] [EN]
[TAB] [BK] [F12] [F11] [F10] [F9] [F8] [F7] [F6] [F5] [F4] [F3] [F2] [F1]