Trojan/WebMoney.Keepcar.a

Trojan/WebMoney.Keepcar.a
　　病毒长度：16384字节
　　病毒类型：木马
　　危害等级：*
　　影响平台：Win9X/2000/XP/NT/Me
　　Trojan/WebMoney.Keepcar.a盗取WebMoney文件、获取剪切板数据并记录键击，此外还结束反病毒及防火墙软件的有关进程。
　　传播过程及特征：
　　1.创建文件：
　　%System%\load32.exe, 16384字节
　　%System%\vxdmgr32.exe, 16384字节
　　%WinDir%\win.ini, 8297字节
　　%WinDir%\system.ini, 1935字节
　　%WinDir%\start menu\programs\启动\rundllw.exe, 16384字节
　　%WinDir%\dllreg.exe, 16384字节
　　%WinDir%\sysdrv.exe, 4096字节
　　2.在WIN.INI中添加：
　　run=c:\windows\dllreg.exe
　　在SYSTEM.INI中添加：
　　shell=explorer.exe c:\windows\system\vxdmgr32.exe
　　3.修改注册表：
　　/添加键值
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"load32" = %System%\load32.exe
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
　　"ZoneAlarm 2.99" = %WinDir%\sysdrv.exe
　　4.在启动菜单中添加下列程序：
　　%WinDir%\start menu\programs\启动\rundllw.exe
　　这样，在Windows启动时，病毒就可以自动执行。
　　5.记录键击，获取剪切板上的数据，搜索.pwm和.kwm类型文件，然后将获取的所有信息发送到特定的邮件地址。
　　注：%Windir%为变量，一般为C:\Windows 或 C:\Winnt；
　　%System%为变量，一般为C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
　　或 C:\Windows\System32 (Windows XP)。