病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
33792
影响系统:
Win9xWin2000
病毒行为:
编写工具:
delphi编写,upx压缩
传染条件:
该木马利用了http://207.46.249.252/technet/security/bulletin/ms04-0mspxMicrosoftInternetExplorerITSProtocolZoneBypassVulnerability漏洞
发作条件:
这是一个偷取银行帐号密码的木马,当用户访问特定页面时,该木马就会记录用户的键盘记录并将记录的结果通过Email发送给攻击者。
系统修改:
1,拷贝自身到
%System%Wmiprvse.exe
%System%Ntsvc.exe
%Windir%Userlogon.exe
2,建立%System%Rsasec.dll文件,为一个键盘记录所用的Dll程序
3,建立%System%
sacb.dll,实质为一个text文件,用来记录监听的结果。
4,向注册表添加:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"wmiprvse.exe"="%system%wmiprvse.exe"
5,当操作系统为:NT/2000/XP
添加:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindows
"Run"="%Windir%userlogon.exe"
当操作系统为:95/98/Me
在Win.ini添加:
run=%Windir%userlogon.exe,同时修改注册表:
shell=explorer.exe%system%
tsvc.exe
6,当用户访问
NationalAustraliaBank
ANZInternetBanking-Logon
NationalInternetBanking
CitibankAustralia
WelcometoCiti
WelcometoCitibank
Citi-SignOn
BankofChina
online@hsbc
HSBCinHongKong
Banesto
Sabadell
或者这些
https://olb.westpac.com.au/ib/asp/
https://olb.westpac.com.au/ib/
链接时将记录用户的击键记录。
7,利用自己的smtp发信到xxx@mail.ru信箱。
发作现象:
该木马运行后,用户会在%Windir%发现以下几个文件:
Wmiprvse.exe
Ntsvc.exe
Userlogon.exe
rsacb.dll
用记事本打开rsacb.dll文件后会发现是一些自己以前敲击键盘的记录。
非凡说明: