病毒名称:
TrojanSpy.Cmos
类别: 木马病毒
病毒资料:
破坏方法:
这是一个盗取用户信息的木马病毒。
病毒的执行程序使用MFC编写,其主要功能模块采用Delphi编写。
感染此病毒后,将释放文件到系统目录:
病毒也将修改注册表以使自己能随系统自启动。
病毒包括两部分:
文件:csms.exe ---是病毒的执行模块
文件:msmtcs.dll ---此文件由 csms.exe 释放,是病毒的
主要功能模块。
该模块,将设立全局的鼠标键盘钩子,用以记录用户信息并生成记录文件和截获时的屏幕静态图像,随后病毒将这些信息上传到病毒作者站点。
病毒在截获这些信息时触发条件是IE打开的站点包含如下字眼:
bank、e-gold、mail log-on、Access、Internet Banking、Account、secret question、n-line banking、
ebay、log on、Internet PassWord;
https://***mbanxonlinebanking.harrisbank.com
/signon_frame.ASP
https://***www.bancorponline.com/PBI_PBI1961
/pbi1961.asp?Rt=121140823&LogonBy=Connect3&PRMAccess=Account
https://***www.ebankhost.net/legends/
https://***www1.bmo.com/cgi-bin/netbnx/NBmain
http://***www.premierwestbank.com/
https://www.middleburgbankonline2.com/onlineserv
/HB/Signon.cgi
https://onlinebanking.nationalcity.com/olb
/SignOn.aspx?T=C
https://www.mynbcbank.com/portal/jsp/nbc/login.jsp
等等
也就是说病毒要截获的信息涵盖用户登录、密码、安全、网上银行、网上交易等几乎全部会对用户造成损害的信息。
修改注册表:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"cmssSystemProcess" = ""
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-9-17