脸谱与面具的区别:特洛伊病毒能使内存不能"read"吗???

病毒特性：
Win32.Chooket.A是一种键盘记录的特洛伊病毒，它能够记录敏感信息并发送给远程机器。

感染方式：
执行时，Win32.Chooket.A复制到%System%\svchost\svchost.exe，并设置以下注册表键值，以确保在每次windows启动时运行这个文件：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST = "%System%\SVCHOST\svchost.exe"

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32； 95,98 和 ME 的是C:\Windows\System； XP 的是C:\Windows\System32。

特洛伊还会生成"%System%\svchost\dll32\lstnunc.txt"文件，这个文件是个空的文本文件。
病毒第一次运行时，显示以下信息：

Actualización exitosa
La actualización se ha aplicado con éxito, pero deberá reiniciar el sistema para que tenga efecto.

信息使用西班牙语，大概的意思是：
更新成功
更新已经成功地应用，但是需要系统重启后才能生效。

危害：
盗窃敏感信息
特洛伊监控Windows所有前台，并在它们的标题中查找以下字符：
BNL e-banking
IBanking
home banking
homebanking
Home Banking
bancopatagonia
Login Bankboston
PC Banking
Citibank
Online
Suqu
a On Line
Banca Empresa
Banco Macro Bansud
abnnetbanking
Banco Credicoop
ITAU
Internet Banking
bancotdf
Santa Fe Empresas
BANCO REGIONAL DE CUYO
bbv.com.ar
On Line Bisel
Operaciones en lfnea

如果在窗口标题中发现以上字符，特洛伊记录所有输入窗口的按键。所有的记录数据保存到"%System%\svchost\dll32\kwinfj.jpg"。
记录的数据上传到"fortunecity.com"域的一个FTP服务器。

下载并运行任意文件
特洛伊连接"fortunecity.com"域的一个FTP服务器，并下载自身的更新和另一个文件。更新下载到"%System%\winlst\update.exe"，而另一个文件下载到"%System%\pkzip.exe"。这个文件以PKZIP格式压缩。

其他信息
特洛伊生成以下键值，用来保存自己使用的信息：
HKLM\Software\Microsoft\LST

特洛伊删除%Cookies%目录中的一些文件，配比以下标准：
*bcp*.*

注：%Cookies%是一个可变路径，指向存放Internet cookies目录所在位置。病毒通过查询操作系统来决定当前Cookies文件夹的位置。一般都在以下位置：C:\Documents and Settings\\Cookies。