[转载]密码杀手2004 最新变种分析报告

信息来源：soudu

病毒类型：木马
病毒大小：90624字节
传播方式：网络
2004年7月22日，江民快速反病毒中心率先截获“密码杀手2004”木马的最新变种Trojan/PSW.PassKiller.2004.c。该木马病毒针对QQ2004的密码输入框进行了特别升级，并可以通过键盘记录技术截取几乎所有登陆窗口的输入信息，并通过电子邮件发送给病毒作者。
具体技术特征如下：
1. 病毒运行后，将在用户计算机中创建一个名为“.exe”的复本，大小90624字节。



2. 在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"(默认)" = .exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"(默认)" = .exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"(默认)" = .exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"(默认)" = .exe
这样，在Windows启动时，病毒就可以自动执行。


3. 通过键盘记录的方法，病毒能够截获所有键盘输入和鼠标左中右三键的点击操作，企图获取大多数登陆窗口的输入信息。可能受其危害的常见程序包括QQ、ICQ、Outlook、 Foxmail及各种游戏、网络游戏(如：传 奇、奇迹、千年、红月、边锋、联众、倚天、精灵、决战、石器时代、大话西游……)等。

4. 病毒可以关闭多种国内外杀毒软件和防火墙进程，并可以清除还原精灵软件。以保证自身不被删除。

5. 通过访问下面的网页，病毒可以实现自动升级：
http://www.*******.net/killer/lisn.htm
http://www.*******.net/killer/autoup.htm