发布网友 发布时间:2023-03-25 14:44
共1个回答
热心网友 时间:2023-10-19 08:48
svch0st.exe和系统进程svchost.exe只差一个字符,注意svch0st.exe中的0这个是数字零,而系统进程svchost.exe中的o是字母O。
该病毒运行后在系统文件夹%System%下创建自身的副本,文件名为svch0st.exe。(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
随后病毒修改注册表,以达到随系统启动而自动运行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:
svch0st.exe = %System%\svch0st.exe
taskmgr.exe = %System%\svch0st.exe
病毒运行后检查IE窗口标题栏,判定当前窗口是否为网上银行的登陆页面,涉及到国内多家银行的网上交易系统。一旦发现当前IE窗口为上述银行的登陆页面,病毒立即开始记录键盘输入的所有键值,记录的键值几乎包括了所有可能的键盘录入。窃取的用户信息包括网上银行的帐号、密码、验证码等。当病毒截获被感染计算机所输入的键盘值后,将其窃取到的信息发送到指定的地址。