本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.释放病毒文件 %system32%xxyXpMFV.dll %SYSTEM32%xxyXpMFV.exe %SYSTEM32%driversxxyXpMFV.sys 文件名都是随机生成的 2.创建键值

行为分析：
这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播，进入用户电脑后会修改注册表实现自启动，然后记录用户的键盘操作。

描述：
1.释放病毒文件

%system32%xxyXpMFV.dll

%SYSTEM32%xxyXpMFV.exe

%SYSTEM32%driversxxyXpMFV.sys



文件名都是随机生成的





2.创建键值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyxxyXpMFV

"Startup"="logon_startup"

"Impersonate"=""

"DllName"="xxyXpMFV.dll"

"Asynchronous"=""



HKLMSystemCurrentControlSetServicesxxyXpMFV

"Type"=""

"ErrorControl"=""

"Start"=""

"DisplayName"="xxyXpMFV"

"ImagePath"="\%system32%driversxxyXpMFV.sys"



3.病毒会用cmd命令删除自身



4.在注册表中创建0xbe8e2ce1, 0xdab6, 0x11d6, 0xad, 0xd0, 0x0, 0xe0, 0x4c, 0x53, 0xf6, 0xe6互斥量。



往U盘里复制xxyXpMFV.exe和Autorun.inf

Autorun.inf，大小83字节，内容如下：

[AutoRun]

shell=verb1

shellverb1command=xxyXpMFV.exe -showU

shellverb1=Open



5. xxyXpMFV.dll的行为：

监控Active Windows Title，记录键盘[DEL] [INS] [DF] [RF] [UF] [LF] [HOME] [END] [PD] [PU] [SP] [ESC] [EN]

[TAB] [BK] [F12] [F11] [F10] [F9] [F8] [F7] [F6] [F5] [F4] [F3] [F2] [F1]