病毒名称:Trojan/PSW.MiFeng.70
病毒大小:859,136
传播方式:网络传播
压缩方式:aspack
软件类型:木马
危害程度:**
该病毒名为“密蜂大盗”,7.0版本。有强大的信息窃取、远程监控功能。病毒具有窃取几乎所有的密码,自动打开染毒者的摄像头,进行远程监控、远程摄像、遥控QQ、中止防火墙等五种危害。该病毒自身为合成文件,运行木马程序后,进程优先级较高不能正常手工清除,用户用KV杀毒软件直接清除。
感染过程:
1.利用“密蜂大盗”生成木马程序运行。
2.病毒运行后将创建下列文件(Trojan.exe为生成木马程序),并且修改默认的屏幕保护程序,使病毒每隔一段时间自动运行。
%SystemDir%\Trojan.exe, 829316字节,木马本身
%SystemDir%\三维管道.scr, 829316字节
%SystemDir%\三维变形物.scr, 829316字节
%SystemDir%\飞行 windows.scr, 829316字节
%SystemDir%\三维飞行物.scr, 829316字节
%SystemDir%\三维迷宫.scr, 829316字节
%SystemDir%\三维文字.scr, 829316字节
%WinDir%\isuninst.exe, 829316字节
%WinDir%\isun0804.exe, 829316字节
%WinDir%\isun0404.exe, 829316字节
并在SYSTEM.INI中添加:
scrnsave.exe=c:\windows\system\三维文字.scr
3.病毒通过修改下列注册表键值,修改文件关联:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
"" = "c:\windows\system\Trojan.exe" "%1"
这样,用户打开任何txt文件,都会再次运行病毒程序。
病毒具体危害如下:
1.窃取密码
该病毒窃取几乎所有的密码及相关信息,包括:QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、传奇、佣兵传说等(包含帐号、区等相关信息);网页上的信息,如:邮箱、论坛、密保等(含用户名、密码等相关信息),甚至是打在图片上的密码。病毒记录键盘及鼠标动作,无论用户以何种方式输入密码(如:从某处粘贴、输入一部分然后粘贴一部分、在号码前加0、先故意输入错误密码然后删除错误部分等),病毒都会截到,并只盗取最后一次输入且正确的密码。病毒还自带过滤程序,智能识别所盗密码是否完整(如半截密码,重复密码),使得盗取密码准确率更高。
2. 远程监控
该病毒有远程监控的功能,类似于国产冰河、灰鸽子等黑客控制软件。该功能可以使黑客监控感染病毒的计算机,在不经任何授权的情况下,非法观看远程桌面、远控鼠标、键盘,以及所有资源/文件,并可以控制上传下载。该病毒支持公网控制公网,内网控制内网,内网控制公网,公网控制内网,对家庭用户和网吧用户威胁巨大。
3. 远程摄像
该病毒具有远程摄像功能。带摄像头的计算机被感染后,不知不觉中用户被黑客偷窥。
4. 远控QQ和QQ尾巴
该病毒利用QQ漏洞,会迫使染毒计算机QQ关闭,迫使重新登陆,间隙之中盗取QQ密码。病毒还会监控QQ聊天窗口,发送恶意信息、网站等。
5.强行关闭防火墙
该病毒自动检测感染计算机是否安装防火墙(病毒防火墙、邮件防火墙、防黑墙)一旦发现就强行结束,使其无法检测到黑客的链接操控。
6.自动下载运行
该病毒生成xxx.bmp和xxx.htm两个文件,如果将这两个文件上传到个人主页空间(动、静态空间均可),当访问xxx.htm,会利用IE漏洞自动下载木马病毒(IE不会有任何提示)并运行。
7.获取IP地址
病毒在窃取的信息中,包括IP地址及其对应的真实物理地址。黑客可以利用泄露的IP地址进行攻击。
8.图标伪装
该病毒可以定制木马的图标,在很大程度上欺骗诱导用户运行。
解决方案:针对该病毒江民公司在第一时间升级了病毒库,用户只需将KV江民杀毒系列软件智能升级到2004年6月24日最新版本,开启七套实时监控系统,即可将此病毒有效的杀死在系统之外,确保电脑不该病毒的侵扰。
