病毒名称:Trojan/PSW.PswSniffer.b
中 文 名:“密码针”
病毒长度:变长
病毒类型:木马
危害等级:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
Trojan/PSW.PswSniffer.b“密码针”是一个可利用微软DCOM RPC(MS03-026)等漏洞进行传播的木马。该木马可连接IRC通道,远程控制用户计算机。“密码针”在用户计算机内搜索注册表,若发现用户计算机内装有虚拟机,则不会在此计算机内运行。该木马运行后,自我复制到系统目录下。修改注册表,使“密码针”在安全模式下也能启动。开启TCP6556端口,侦听黑客指令,可盗取系统信息;利用记录键击或从缓冲区盗取用户密码信息;终止黑客指定进程;连接黑客指定站点,下载并安装指定程序。
如何发现 :
1.观察进程运行情况,看是否存在未知的进程:如果发现机器上有一个名为rtos.exe的进程在运行的话,那么非常有可能是感染了某种类型的IRC Trojan。
2.观察机器的端口开放和连接情况,看是否存在异常的端口和连接。
3.留心系统配置文件的变化,比如:Windows的注册表、Unix的/etc目录下的配置文件等。
4.留心系统的资源使用情况,看是否有原因不明的繁忙情况出现。
5.留心系统中的一些服务是否存在被关闭或运行不稳定等异常情况。
6.留心与IRC服务及客户端相关的异常
防范 :
1. 及时修补Windows的漏洞,以免被IRC Trojan所利用;
2. 对于Windows系统、SQL数据库等使用强密码机制,以免被IRC Trojan所利用;
3. 备份和保护注册表,可用于IRC Trojan的清除;
4. 安装个人防火墙,通过防火墙进行端口过滤,只允许必要的端口流量;
5. 安装杀毒软件、反木马软件、防间谍软件等软件,并及时升级;
6. 不要运行来历不明的软件,比如:从网上下载的软件、不明来源的邮件附件等;
