Win32.Troj.Quack.c

病毒名称(中文):

密码王

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

46080

影响系统:

Win9xWin2000

病毒行为:

编写工具:

lcc编写,aspack压缩

传染条件:

伪装流行软件,诱使用户误运行

发作条件:

运行后,该木马来搜索用户缓存中的密码帐号等,并模拟一个假的登陆窗口来诱使用户上当.木马通过email来发送帐号密码给攻击者.

系统修改:

1,通过打开互斥体QueenKarton_12来防止多重运行

2,拷贝自身到

%System%<八个随机字符>.exe

3,生成%System%<八个随机字符>.dll

4,生成%Temp%<八个随机字符>.htm

5,向注册表添加:

HKEY_CLASSES_ROOTCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32

"(Default)"="<八个随机字符>.dll"

"ThreadingModel"="Apartment"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

"WebEventLogger"="{79FEACFF-FFCE-815E-A900-316290B5B738}"

HKEY_CURRENT_USERSoftwareMicrosoft

"QueenKarton"="C"

6,修改注册表键值:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones1

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones2

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones3

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones4

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsones5

"1601"="0"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettings

"GlobalUserOffline"="0"

7,在%System%生成下列文件:

dnkkq.dll

kkq32.vxd

kkq32.dll

Rtdx1<数字>.dat

发作现象:

误运行后,用户会在%System%发现下列文件:

dnkkq.dll

kkq32.vxd

kkq32.dll

并且病毒会弹出一个模拟银行登陆的窗口来诱使用户输入密码.

非凡说明:

• ·Win32.Troj.bee
• ·Win32.Troj.CQDMZ
• ·Win32.Troj.Mifeng.b
• ·Win32.Troj.Mir2.qc
• ·Win32.Troj.Passking
• ·Win32.Troj.Agent.ac
• ·Win32.Troj.LMir.ly
• ·Win32.Troj.Sdbot.ge
• ·Worm.Apart
• ·Worm.SpyBot.bg