病毒名称(中文):
密码大盗b
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
13000
影响系统:
Win9xWin2000
病毒行为:
编写工具:
vc
传染条件:
伪装成流行软件的新版本诱使用户下载运行
发作条件:
在用户双击运行后,病毒将会监视用户访问特定页面的键盘记录.
系统修改:
1,建立%System%Drvin目录
2,当用户访问下列网址时,病毒会记录用户的键盘输入:
www.e-gold.com
www.e-gold.com/srk.asp
online-business.lloydstsb.co.uk/logon.ibc
online-business.lloydstsb.co.uk/customer.ibc
online.lloydstsb.co.uk/logon.ibc
online.lloydstsb.co.uk/customer.ibc
olb2.nationet.com/default2.asp
ibank.barclays.co.uk/fp/1_2d
www.ukpersonal.hsbc.co.uk/public/ukpersonal/internet_banking/en/logon.jh...
www.ebank.hsbc.co.uk/logonindex.jsp
olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp?ID=
3,与此同时,病毒监视剪贴板的内容,并进行屏幕截图.
4,将监视结果存入%System%Drvin目录,文件扩展名一般为bmp,txt,rar.
5,病毒最后将监视结果通过自己的smtp发信引擎将监视结果发送给攻击者.
6,添加下列注册表键值,作为该机器感染标记,防止重复监视:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPawerISwi=%datatimevalue%
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOarsCount
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPdot
发作现象:
1,中毒用户会在%System%发现名为Drvin的目录,并且该文件夹存放有扩展名为bmp,txt,rar的文件,打开bmp文件,将会发现是用户以前某个时间的截图.
2,会在注册表发现一下键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPawerISwi=%datatimevalue%
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOarsCount
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPdot
非凡说明:
