Win32.Troj.thief_病毒数据库

病毒名称(中文):
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 63566
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个贪婪的木马病毒。它从多种格式的文件中搜集他需要的信息，包括用户各种密码，甚至从卡巴斯基日志文件中搜索有用信息；然后分别记录到%windows%\pass.log,email.log,post.log,html.log,Pstore.log,Server.log等文件中，并通过http和ftp传到指定地址，并下载新木马并运行。该病毒运行后生成%system%\RFA.dll，并加载BHO，使得病毒RFA.dll随浏览器或ie浏览器一起启动；该病毒会删除自身，达到隐形。该病毒的行为对用户造成了严重的侵犯，给用户造成了严重的损失。

1，生成文件
%system%\RFA.dll

2，添加注册表
HKEY_CLASSES_ROOT\CLSID\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}
HKEY_CLASSES_ROOT\RFA.RFA
HKEY_CLASSES_ROOT\RFA.RFA.1
HKEY_CLASSES_ROOT\TypeLib\{A49460C9-D134-4C21-BF35-EDD17D477DC8}
HKEY_CLASSES_ROOT\Interface\{5D463D75-B21F-4D6A-AF92-CC0EC2CBF25F}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{811ABD55-9D94-4892-AB46-11D7DA29B8AE}(加载BHO，随浏览器启动)

3，生成记录文件
%windows%\pass.log
%windows%\email.log
%windows%\post.log
%windows%\html.log
%windows%\Pstore.log
%windows%\Server.log
等

4，会从以下文件中搜集信息
*.*ht*
*.tx*
*.pl*
*.ph*
*.asp
*.tbb
*.wab
*.adb
*.dbx
*.msg
*.oft
*.doc
*.uin
*.rtf
*.vbs
*.eml
*.xls
*.xml

5，通过ftp及http上传及下载文件