病毒大百科

该病毒是一个盗号木马。它可盗取QQ号和网络游戏《完美世界》的账号，并记录下用户的真实IP地址。

1.生成文件
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys

2.如果病毒运行发现WinSys64.sys已经存在则生成WinSys64.tao文件.

3.生成CLSID组件
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460} Default = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}\InProcServer32
Default = "C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40117B96-998D-4D80-8F89-5E9DBD9F3460}\InProcServer32
ThreadingModel = "Apartment"

4.生成注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{40117B96-998D-4D80-8F89-5E9DBD9F3460}

5.生成其他注册表项:
HKEY_CURRENT_USER\Software\Tencents
HKEY_CURRENT_USER\Software\Tencent\Gm

6.病毒会登录以下网络地址获得计算机的IP地址.
http:\\flash.chinaren.com/ip/ip.php

7.病毒会把截获的账号资料通过网页提交的方式发送到以下地址
http:\\www.****.com//wuxu/wu/45.asp
htpp:\\www.****.com//wuxu/wu/up564.asp

8.病毒运行后可能会打开以下网站:
http:\\www.***.cn