病毒名称(中文):
密码大盗b
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
21088
影响系统:
Win9xWin2000
病毒行为:
编写工具:
fsg压缩
传染条件:
伪装成有用的工具诱使用户下载运行
发作条件:
这是一个偷取各种帐号密码和银行帐号的木马,当用户访问特定页面时,该木马就会记录用户的键盘记录并将记录的结果通过Email发送给攻击者。
系统修改:
1,拷贝自身到:
%System%Swchost.exe
%System%Svohost.exe
%Startup%Svchost.exe
2,建立下列文件:
%Windir%Rundlln.sys
%Windir%Prntsvr.dll
%Windir%Tempfeff35a0.htm
%Windir%Tempfe43e701.htm
%Windir%Tempfa4537ef.tmp
3,向注册表添加:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"load32"="%System%swchost.exe"
4,添加
HKEY_LOCAL_MACHINESOFTWARESARS
HKEY_USERS.DEFAULTSOFTWARESARS
作为感染标记
5,建立%Windir%Prntsvr.dll用来hook键盘消息以便记录
6,修改
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon
"explorer.exe"
为:
"explorer.exe%System%svohost.exe"
7,修改%Windir%System.ini文件中
"Shell"="Explorer.exe"
为:
"Shell"="explorer.exe%System%svohost.exe"
8,当用户访问http://www.whatpornsite.com/css/logger.php页面时,将会开始记录帐号密码
9,修改%System%Driversetchosts文件:
127.0.0.1avp.com
127.0.0.1ca.com
127.0.0.1customer.symantec.com
127.0.0.1dispatch.mcafee.com
127.0.0.1download.mcafee.com
127.0.0.1f-secure.com
127.0.0.1kaspersky.com
127.0.0.1liveupdate.symantec.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1mast.mcafee.com
127.0.0.1mcafee.com
127.0.0.1my-etrust.com
127.0.0.1nai.com
127.0.0.1networkassociates.com
127.0.0.1rads.mcafee.com
127.0.0.1secure.nai.com
127.0.0.1securityresponse.symantec.com
127.0.0.1sophos.com
127.0.0.1symantec.com
127.0.0.1trendmicro.com
127.0.0.1update.symantec.com
127.0.0.1updates.symantec.com
127.0.0.1us.mcafee.com
127.0.0.1viruslist.com
127.0.0.1www.avp.com
127.0.0.1www.ca.com
127.0.0.1www.f-secure.com
127.0.0.1www.kaspersky.com
127.0.0.1www.mcafee.com
127.0.0.1www.my-etrust.com
127.0.0.1www.nai.com
127.0.0.1www.networkassociates.com
127.0.0.1www.sophos.com
127.0.0.1www.symantec.com
127.0.0.1www.trendmicro.com
127.0.0.1www.viruslist.com
用来阻止用户升级病毒库和访问有关安全类的网站。
发作现象:
木马运行后用户将无法正常访问下列网址:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
并且会在%System%目录发现下列两个文件:
Swchost.exe
Svohost.exe
非凡说明: