病毒名称:
TrojanSpy.Win32.Winldra
类别: 木马病毒
病毒资料:
破坏方法:
这是一个间谍木马。
运行后将自己拷贝到系统目录下文件名为winldra.exe(98/XP系统目录为系统盘\windows\system32,2k/NT为系统盘\winnt\system32)。
添加注册表项:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
load32 : 文件名
这样,每次开机病毒都能自启动。
修改TCP/IP配置文件,将多款世界流行的反病毒软件网址改为指向本地,如:
www.trendmicro.com,
trendmicro.com,
rads.McAfee.com,
customer.symantec.com,
liveupdate.symantec.com,
us.mcafee.com,
updates.symantec.com,
update.symantec.com,
www.nai.com,nai.com,
secure.nai.com,
dispatch.mcafee.com,
download.mcafee.com,
www.my-etrust.com,
my-etrust.com,
mast.mcafee.com,
ca.com,
www.ca.com,
networkassociates.com......
这样,中了毒的用户上这些网站或进行相应病毒库升级都会失败。
病毒在windows目录下生成3个辅助的动态库文件:
winsms.dll,dvpd.dll,prntsvra.dll。然后病毒启动IE,注入这三个动态库,开始监视用户的操作,并与外部主机进行数据交换。
winsms.dll负责在任务管理器启动时隐藏病毒进程(winldra.exe)。如果用其他工具查看进程仍然可以看到。
dvpd.dll内含一个全局钩子,不停地检索当前活动窗口的标题,当发现包含如下字符串时记录到Log文件中:
e-gold.com,
intgold.com,
emocorp.com,
ameritrade.com,
etrade.co,
alliance-,
eicesterbusinessbanking.co,
lloydstsb.co,365online.co,natwest.co,banKOFscotland.co,
barclays.co,netmastergold.co,rbs.co,firstdirect.co,smile.co,hsbc.co,virginone.co,
Please select character,Please select character,http://***localhost/cahoot/1.PHP.....
prntsvra.dll负责监听本地等待远程黑客的连接。并且会主动连接外部主机,下载脚本到本地执行。将本地文件放到指定的FTP服务器上。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-29