TrojanSpy.Qukart.a

王朝百科·作者佚名  2010-01-30
窄屏简体版  字體: |||超大  

TrojanSpy.Qukart.a

病毒长度:46,592 字节 6,657 字节

病毒类型:木马

危害等级:*

影响平台:Win9X/2000/XP/NT/Me

TrojanSpy.Qukart.a是盗取银行密码的木马,通过一个假冒的网页来骗取用户输入,从而盗取密码,帐户等用户的信息。

传播过程及特征:

1.生成文件:

%SystemDir%aaladg32.dll, 6657字节

%SystemDir%efleabgn.exe, 46592字节

2.修改注册表:

/添加键值:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]

"Web Event Logger" = {79feacff-ffce-815e-a900-316290b5b738}

[HKEY_CLASSES_ROOTCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32]

"(Default)" = "aaladg32.dll"

"ThreadingModel" = "Apartment"

[HKEY_CURRENT_USERSoftwareMicrosoft]

"QueenKarton" = 0xb

[HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowseNewProcess]

"BrowseNewProcess" = "yes"

/修改键值:

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones1]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones2]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones3]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones4]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones5]

"1601" = "0"

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]

"GlobalUserOffline" = "0"

3.生成多个%Temp%<8个任意字符>.htm,并在IE中打开,导致访问特定的URL。

4.从感染的计算机上收集密码并从一些打开的IE界面中途截取信息。

5.在系统目录下生成文件保存密码信息和下载的数据,文件名为:

dnkkq.dll

kkq32.vxd

kkq32.dll

Rtdx1.dat

并将密码信息传送给攻击者,通过HTTP发送query string的方式,此外下载下来的数据将被上传到特定的站点。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航