Trojan/PSW.MiFeng

病毒名稱：Trojan/PSW.MiFeng.70

病毒大小：859,136

傳播方式：網路傳播

壓縮方式：aspack

軟體類型：木馬

危害程度：**

1.利用“蜜蜂大盜”生成木馬程式運行。

2.病毒運行後將創建下列檔案(Trojan.exe為生成木馬程式)，並且修改默認的螢幕保護程式，使病毒每隔一段時間自動運行。

%SystemDir%\Trojan.exe, 829316位元組，木馬本身

%SystemDir%\三維管道.scr, 829316位元組

%SystemDir%\三維變形物.scr, 829316位元組

%SystemDir%\飛行 windows.scr, 829316位元組

%SystemDir%\三維飛行物.scr, 829316位元組

%SystemDir%\三維迷宮.scr, 829316位元組

%SystemDir%\三維文字.scr, 829316位元組

%WinDir%\isuninst.exe, 829316位元組

%WinDir%\isun0804.exe, 829316位元組

%WinDir%\isun0404.exe, 829316位元組

並在SYSTEM.INI中添加：

scrnsave.exe=c:\windows\system\三維文字.scr

3.病毒通過修改下列註冊表鍵值，修改檔案關聯：

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]

"" = "c:\windows\system\Trojan.exe" "%1"

這樣，用戶打開任何txt檔案，都會再次運行病毒程式。

病毒具體危害如下：

1．竊取密碼

該病毒竊取幾乎所有的密碼及相關信息，包括：QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、傳奇、傭兵傳說等（包含帳號、區等相關信息）；網頁上的信息，如：信箱、論壇、密保等（含用戶名、密碼等相關信息），甚至是打在圖片上的密碼。病毒記錄鍵盤及滑鼠動作，無論用戶以何種方式輸入密碼（如：從某處貼上、輸入一部分然後貼上一部分、在號碼前加0、先故意輸入錯誤密碼然後刪除錯誤部分等），病毒都會截到，並只盜取最後一次輸入且正確的密碼。病毒還自帶過濾程式，智慧型識別所盜密碼是否完整（如半截密碼，重複密碼），使得盜取密碼準確率更高。

2. 遠程監控

該病毒有遠程監控的功能，類似於國產冰河、灰鴿子等黑客控制軟體。該功能可以使黑客監控感染病毒的計算機，在不經任何授權的情況下，非法觀看遠程桌面、遠控滑鼠、鍵盤，以及所有資源/檔案，並可以控制上傳下載。該病毒支持公網控制公網，區域網路控制區域網路，區域網路控制公網，公網控制區域網路，對家庭用戶和網咖用戶威脅巨大。

3. 遠程攝像

該病毒具有遠程攝像功能。帶攝像頭的計算機被感染後，不知不覺中用戶被黑客偷窺。

4. 遠控QQ和QQ尾巴

該病毒利用QQ漏洞，會迫使染毒計算機QQ關閉，迫使重新登入，間隙之中盜取QQ密碼。病毒還會監控QQ聊天視窗，傳送惡意信息、網站等。

5.強行關閉防火牆

該病毒自動檢測感染計算機是否安裝防火牆（病毒防火牆、郵件防火牆、防黑牆）一旦發現強行結束，使直無法檢測到黑客的連結操控。

6.自動下載運行

該病毒生成xxx.bmp和xxx.htm兩個檔案，如果將這兩個檔案上傳到個人主頁空間（動、靜態空間均可），當訪問xxx.htm，會利用IE漏洞自動下載木馬病毒（IE不會有任何提示）並運行。

7.獲取IP位址

病毒在竊取的信息中，包括IP位址及其對應的真實物理地址。黑客可以利用泄露的IP位址進行攻擊。

8.圖示偽裝

該病毒可以定製木馬的圖示，在很大程度上欺騙誘導用戶運行。

天極網 6月25日訊息 　6月24日，江民快速反病毒中心率先截獲“蜜蜂大盜”病毒。該病毒有強大的信息竊取、遠程監控功能。病毒可以竊取幾乎所有類型的密碼，自動打開染毒者的攝像頭，進行遠程監控、遠程攝像、遙控QQ,並可中止防火牆,可謂“五毒”俱全。該病毒自身為合成檔案，運行木馬程式後，病毒將自身進程設為較高優先權，用戶不能正常手工清除。反病毒專家懷疑前不久在南寧發生的偷拍網友裸照事件與此病毒有關。

病毒運後後，修改默認的螢幕保護程式，每隔一段時間自動運行。通過修改下列註冊表鍵值，修改檔案關聯使用戶打開任何txt文本檔案，都會再次運行病毒程式。

該病毒竊取幾乎所有的密碼及相關信息，包括：QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、傳奇、傭兵傳說等（包含帳號、區等相關信息）；網頁上的信息，如：信箱、論壇、密保等（含用戶名、密碼等相關信息），甚至是打在圖片上的密碼。病毒記錄鍵盤及滑鼠動作，無論用戶以何種方式輸入密碼（如：從某處貼上、輸入一部分然後貼上一部分、在號碼前加0、先故意輸入錯誤密碼然後刪除錯誤部分等），病毒都會截到，並只盜取最後一次輸入且正確的密碼。病毒還自帶過濾程式，智慧型識別所盜密碼是否完整（如半截密碼，重複密碼），使得盜取密碼準確率更高。

該病毒有遠程監控的功能，類似於國產冰河、灰鴿子等黑客控制軟體。該功能可以使黑客監控感染病毒的計算機，在不經任何授權的情況下，非法觀看遠程桌面、遠控滑鼠、鍵盤，以及所有資源/檔案，並可以控制上傳下載。該病毒支持公網控制公網，區域網路控制區域網路，區域網路控制公網，公網控制區域網路，對家庭用戶和網咖用戶威脅巨大。

病毒還具有遠程攝像功能。帶攝像頭的計算機被感染後，不知不覺中用戶被黑客偷窺，黑客可以遠程攝下中毒者的所有動作。

該病毒利用QQ漏洞，會迫使染毒計算機QQ關閉，迫使重新登入，間隙之中盜取QQ密碼。病毒還會監控QQ聊天視窗，傳送惡意信息、網站等。自動檢測感染計算機是否安裝防火牆（病毒防火牆、郵件防火牆、防黑牆）一旦發現強行結束，使其無法檢測到黑客的連結操控。

病毒會生成xxx.bmp和xxx.htm兩個檔案，如果將這兩個檔案上傳到個人主頁空間（動、靜態空間均可），當訪問xxx.htm，會利用IE漏洞自動下載木馬病毒（IE不會有任何提示）並運行。

在病毒竊取的信息中，包括IP位址及其對應的真實物理地址。黑客可以利用泄露的IP位址進行遠程攻擊。

該病毒還可以定製木馬的圖示，在很大程度上欺騙誘導用戶運行。