病毒名称(中文):
密码王
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
46080
影响系统:
Win9xWin2000
病毒行为:
编写工具:
lcc编写,aspack压缩
传染条件:
伪装流行软件,诱使用户误运行
发作条件:
运行后,该木马来搜索用户缓存中的密码帐号等,并模拟一个假的登陆窗口来诱使用户上当.木马通过email来发送帐号密码给攻击者.
系统修改:
1,通过打开互斥体QueenKarton_12来防止多重运行
2,拷贝自身到
%System%<八个随机字符>.exe
3,生成%System%<八个随机字符>.dll
4,生成%Temp%<八个随机字符>.htm
5,向注册表添加:
HKEY_CLASSES_ROOTCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32
"(Default)"="<八个随机字符>.dll"
"ThreadingModel"="Apartment"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
"WebEventLogger"="{79FEACFF-FFCE-815E-A900-316290B5B738}"
HKEY_CURRENT_USERSoftwareMicrosoft
"QueenKarton"="C"
6,修改注册表键值:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones1
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones2
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones3
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones4
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones5
"1601"="0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettings
"GlobalUserOffline"="0"
7,在%System%生成下列文件:
dnkkq.dll
kkq32.vxd
kkq32.dll
Rtdx1<数字>.dat
发作现象:
误运行后,用户会在%System%发现下列文件:
dnkkq.dll
kkq32.vxd
kkq32.dll
并且病毒会弹出一个模拟银行登陆的窗口来诱使用户输入密码.
非凡说明: