Win32.Troj.JpgHorse_安全中国_全球最大网络安全培训门户

病毒别名：
处理时间：
威胁级别：★★
中文名称：
病毒类型：木马
影响系统：Win9x / WinNT
病毒行为:
这是一个用VB编写的木马病毒。该病毒会修改JPG文件关联到病毒程序，并修改JPG文件显示的图标。病毒由于编写上的缺陷并没有释放该文件，导致无法正常打开JPG文件。病毒还生成Wininit.ini，用来将病毒副本替换掉病毒文件，以防止被删除。病毒会关闭常见的安全软件，如天网防火墙等，然后打开后门端口51984和1028等待黑客连接。病毒还会记录用户的按键信息以及对应的窗口标题，保存在本地硬盘中，当记录的信息达到一定大小的时候再发送到指定的邮箱。

1.将自身复制为：%SystemRoot%\Internet.exe，%System%\EtHorse.dll，并释放文件%System%\MSWINSCK.OCX（VB的winsock控件，病毒运行需要此文件）；
生成文件%SystemRoot%\Wininit.ini，文件内容为：
[rename]
C:\WINNT\Internet.exe=C:\WINNT\System32\EtHorse.dll
C:\WINNT\System32\Image.exe=C:\WINNT\System32\EtImg.ocx
用病毒副本替换当前的病毒文件。

生成文件%SystemRoot%\EhKey.dll，该文件是文本文件，文件内容是病毒记录的窗口信息以及用户的键盘记录。

2.修改注册表，将自身添加到自启动项，修改JPG文件关联到病毒程序（病毒并没有释放该关联程序，导致无法正常打开JPG文件），修改JPG文件显示的图标。

添加键值：
HKCR\CLSID\\shell\OpenHomePage\Command\
"默认"="C:\WINNT\Internet.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\
"Internet"="%SystemRoot%\Internet.exe"

HKCR\.jpg\
"默认"="Internet.jpg"

HKCR\Internet.jpg\
"默认"="JPEG Image"

HKCR\Internet.jpg\Shell\Open\Command\
"默认"="C:\WINNT\System32\Image.exe %1"

HKCR\Internet.jpg\DefaultIcon\
"默认"="C:\Program Files\Internet Explorer\iexplore.exe,8"

HKCR\Internet.jpg\
"openFile"="jpegfile"

HKCR\exefile\shell\open\command\
"默认"=""%1" %*"

3.关闭一些常见的安全软件，如天网防火墙，金山网镖等。

4.打开后门端口51984和1028，等待木马种植者的连接。

5.记录用户的按键信息以及对应的窗口标题，保存在文件%SystemRoot%\EhKey.dll中，然后发送到指定的邮箱。