病毒名称:
Backdoor.Nibu.K
类别: 后门病毒
病毒资料:
该病毒长度为25,040字节,感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个后门病毒,通过木马技术入侵,记录用所有的键盘操作,搜索重要的口令,银行和游戏帐号信息,周期性的黑客发送窃取到的信息;当收到、打开此后门病毒时,有以下危害:
A 创建以下文件
系统目录的\winldra.exe
Windows目录的\dvpd.dll
Windows目录的\netdx.dat
Windows目录的\netdx.dat
Windows目录的\TEMP\fa4537ef.tmp
Windows目录的\winsms.dll
B 创建注册项
HKEY_LOCAL_MACHINE\SOFTWARE\SARS
C 创建注册项"load32" = "%System%\winldra.exe"
到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒在每次开机后自动执行
D 从以下地址下载并执行黑客文件 http://bratva.ddo.jp/[已删除]/bog.cmd.txt
E 使用HTTP GET方法发送主机信息到 http://bratva.ddo.jp/[已删除]/logger.PHP
F 记录搜索以下网址打开时的信息
365online.co
abbey.co
aeacu.com
alliance-leicesterbusinessbanking.co
banKOFscotland.co
barclays.co
citibank.com
etrade.co
firstdirect.co
halifax.co
hsbc.co
lloydstsb.co
natwest.co
netmastergold.co
rbs.co
smile.co
virginone.co
zurichbank.co
G 窃取远程管理口令、FTP口令、硬盘中的重要数据等,保存在windows目录的prntk.log文件中,同时包括以下信息:
IP地址,操作系统信息,IE浏览器信息
H 运行一个线程监视裁剪版,保存有关数据到windows目录的prntc.log
I 周期性的检查窃取到的信息文件,如到达指定尺寸,就使用自带的邮件引擎把信息文件转换成邮件格式保存在windows目录的TEMP\fa4537ef.tmp文件,发送给黑客。
J 从注册表中收集窃取信息
K 禁止以下网站访问(主要是杀毒网站)和杀毒软件升级
trendmicro.com
rads.McAfee.com
customer.symantec.com
liveupdate.symantec.com
us.mcafee.com
updates.symantec.com
update.symantec.com
www.nai.com
nai.com
secure.nai.com
dispatch.mcafee.com
download.mcafee.com
www.my-etrust.com
my-etrust.com
mast.mcafee.com
ca.com
www.ca.com
networkassociates.com
www.networkassociates.com
avp.com
www.kASPersky.com
www.avp.com
kaspersky.com
www.f-secure.com
f-secure.com
viruslist.com
www.viruslist.com
liveupdate.symantecliveupdate.com
mcafee.com
www.mcafee.com
sophos.com
www.sophos.com
symantec.com
securityresponse.symantec.com
us.mcafee.com/root/
www.symantec.com
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-6-19