TSPY_CHISBURG.A

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它以电子邮件消息附件的形式出现，而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

新病毒详细信息

它以电子邮件消息附件的形式出现，而此垃圾邮件由其他恶意软件/灰色软件/间谍软件或恶意用户发送。

安装

它植入下列文件：

• %User Temp%\{10 random alphanumeric characters}.ini
• %User Profile%\Xp21237W81223\{random filename and extension}
• %User Profile%\Mf88749K80827.WV7

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

它在受感染的系统中植入下列自身副本：

• %User Profile%\Xp21237W81223\explorer.exe

(注意: %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

它创建下列文件夹：

• %User Profile%\Xp21237W81223

(注意: %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Ic98367G37760 = "%User Profile%\Xp21237W81223\explorer.exe"

传播

它在下列驱动器中植入自身副本：

• {drive letter}:\explorer.exe - All drives

窃取信息

它通过 HTTP POST 将收集的信息发送到下列 URL：

• http://{BLOCKED}ber123.hostingsiteforfree.com/index.php?action=add&username={username}&password={password}&app={application}&pcname={computername}&sitename={url of credentials}