病毒名称:
PWSteal.Metafisher
类别: 木马病毒
病毒资料:
该病毒感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows xp 系统,它利用微软WMF漏洞(参见:微软安全公告 MS06-001)下载远程执行文件,并收集染毒计算机中的银行卡和个人信息发送到远程服务器,木马通过邮件传播,标题为 Its order #76453 to total of 739,00$ was accepted 或 Su orden #F8A2198CD8E a total de 576.00$ fue acceptado 。当预览到这些邮件时,浏览器访问网址 advanced-customers-online.com 和 frandenburg-online.com,其中包含 XPL.WMF 文件,如果系统没有进行相关安全更新,就会下载执行文件 1.exe, 感染此病毒:
A 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Sharedaccess\Parameters\FirewallPolicy\StandardPRofile\
Authorizedapplications\List
添加
"(Default)" = ":*:McAfee_SIGNATURE_HERE_LOL"
"%ProgramFiles%\Internet Explorer\IEXPLORE.EXE" = "%ProgramFiles%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"
使得病毒可以通过 Windows 防火墙
B 下载执行文件installer.exe
C 增加注册表项
"next_install" = "420ca762"
"compid" = "[RANDOM_ID]"到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Control Panel\load
D 增加注册表项
"Enable Browser Extensions" = "yes"到 HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Main
E 创建注册表键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Control Panel\load\httpreport
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel
\load\waspopup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel
\load\formwas
HKEY_LOCAL_MACHINE\SOFTRWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{78364D99-A640-4DDF-B91A-67EFF8373045}
F 创建文件MSNscps.dll到系统目录,并注册为浏览器帮助对象
G 创建文件form.txt info.txt shot.Html到系统目录,用来保存收集到的信息
H 收集以下信息
主机名和ip地址
Outlook账号
SMTP和POP3服务器 IE自动完成填写的口令
MSN账号口令
Windows账号口令
URL访问情况
HTTP POST 请求内容
HTTP FORM 内容
I 病毒会产生一个错误(图1)
J 创建文件C:\1.bat删除以下内容
C盘根目录下所有文件
程序目录下所有文件
系统目录下所有文件
K 连接地址european-business-organization.com/[已删除]/chat.php
L 将收集到的信息通过Http和FTP协议发送给黑客
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-2-20