病毒别名:
处理时间:2005-08-14
威胁级别:★
中文名称:
病毒类型:黑客程序
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个后门病毒。病毒运行后,会监控clipboard、键盘,搜索FTP工具软件的配置
文件,获取用户IP、密码等信息。并利用自带的smtp引擎将记录的信息发送到指定的
信箱。
1. 病毒通过建立名为“Stamm-804”的全局原子体,以保证只有一个病毒体在运行。
2. 释放大小为4096字节的动态链接文件winsms.dll到%WinDir%目录下,并调用其中
的函数隐藏进程。
3. 将自身拷贝到%System%目录下,命名为winldra.exe,并修改注册表建立启动项,
从而达到开机自启的目的:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"load32" = "%System%winldra.exe"
4. 病毒体还会添加如下注册表项,记录病毒的各种操作:
[HKCUSoftwareSARS]
5. 在%WinDir%目录下生成netdx.dat文件,存储加密的字符集;
6. 修改hosts文件,屏蔽著名安全站点,包括:
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
等。
7. 建立线程,监控clipboard的内容,将clipboard的内容记录在%WinDir%prntc.log
文件中。
8. 建立线程,监控键盘,如果当前窗口标题包含有以下敏感文字,则将键盘键入的内容
记录在%WinDir%\prntk.log文件中:
"Bank"
"PayPal"
"ebay"
"Casino"
等。
9. 搜索FTP工具软件(如totalcmd)的配置文件,获取用户IP、密码等信息,并存储在
%Temp%fe*.htm文件中。
10. 利用自带的smtp引擎将记录的信息发送到指定的信箱。
11. 监听TCP 9125端口,等待远程控制指令。