病毒名称(中文):
伪装者
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
46080
影响系统:
Win9xWin2000
病毒行为:
编写工具:
lcc
传染条件:
该木马是一个偷取各种程序缓存中的帐号和密码的病毒程序,同时也伪装成各种正常程序的登陆窗口来诱使用户输入帐号和密码.
发作条件:
木马运行后会搜索缓存中的帐号密码并通过邮件发送给攻击者.
系统修改:
1,通过打开护持体"QueenKarton_12"来防止多次运行.
2,拷贝自身到%System%<8八个字母构成>.exe.
3,在%System%生成一个<8八个字母构成>.dll
4,在%Temp%生成一个<8八个字母构成>.html文件
5,运行时会打开tat-neftbank.ru的银行网页
6,修改注册表
HKEY_CLASSES_ROOTCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32
"(Default)"="<8randomcharacters>.dll"
"ThreadingModel"="Apartment"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
"WebEventLogger"="{79FEACFF-FFCE-815E-A900-316290B5B738}"
HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowseNewProcess
"BrowseNewProcess"="yes"
7,这时候木马开始记录用户输入的银行帐号和密码,并用Email发送给攻击者
发作现象:
木马运行后会主动打开tat-neftbank.ru的主页,并欺骗用户输入帐号密码
非凡说明:
当用户在没有主动访问各种银行网页,但弹出来要求输入帐号密码窗口时,一般应该谨慎选择.