病毒别名:
处理时间:
威胁级别:★★
中文名称:伪装者
病毒类型:木马
影响系统:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行为:
编写工具:
lcc
传染条件:
该木马是一个偷取各种程序缓存中的帐号和密码的病毒程序, 同时也伪装成各种正常程序的登陆窗口来诱使用户输入帐号和密码.
发作条件:
木马运行后会搜索缓存中的帐号密码并通过邮件发送给攻击者.
系统修改:
1,通过打开护持体"QueenKarton_12"来防止多次运行.
2,拷贝自身到%System%<8八个字母构成>.exe.
3,在%System%生成一个<8八个字母构成>.dll
4,在%Temp%生成一个<8八个字母构成>.html文件
5,运行时会打开tat-neftbank.ru的银行网页
6,修改注册表
HKEY_CLASSES_ROOTCLSIDInProcServer32
"(Default)" = "<8 random characters>.dll"
"ThreadingModel" = "Apartment"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
"Web Event Logger" = ""
HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowseNewProcess
"BrowseNewProcess" = "yes"
7,这时候木马开始记录用户输入的银行帐号和密码,并用Email发送给攻击者
发作现象:
木马运行后会主动打开tat-neftbank.ru的主页,并欺骗用户输入帐号密码
特别说明:
当用户在没有主动访问各种银行网页,但弹出来要求输入帐号密码窗口时,一般应该谨慎选择.