病毒名称(中文):
间谍之门
病毒别名:
Backdoor.Win32.Ciadoor.122.d[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
435334
影响系统:
Win9xWinNT
病毒行为:
这是一个集多种盗取手段于一身的后门病毒。该病毒文件图标为图片文件图标,诱骗用户运行。一旦用户运行之后,该病毒将自己复制到系统目录,改成于系统进程极其相似的文件名,迷惑用户。值得一提的是,该病毒的优先级别是实时。它修改注册表使自己能开机运行。然后打开后门,并将用户的系统信息,例如本机IP地址、监听端口、用户名、连接密码等发送的指定地方,等待外界连接。木马种植者获取这些信息之后就可以连接到中了该病毒的用户电脑,几乎可以完全控制该用户的电脑:进行各种文件操作,查看或者关闭进程,控制窗口,获取视频、音频,记录键盘消息,盗取缓存中的密码,关闭系统,更改电脑的各种设置,查看浏览器历史记录,盗取剪贴板信息,盗取系统信息;它还盗取各种密码,包括游戏和软件的CDKEY以及序列号。
1.在WinNT系统将自己复制为%System32%\WinIogon.exe,并且释放文件%System32%\%System32%\ckl009.dat,病毒进程优先级为实时;在Win9X系统将自己复制为%SystemRoot%\WinIogon.exe,
2.修改注册表:
添加表项(WinNT):
"WindowsLogon"="%System32%\WinIogon.exe"
到下面的一项或者几项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Run
修改表项:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run"="WinIogon.exe"
"load"="WinIogon.exe"
修改表项(WinNT):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon
"shell"="Explorer.exeWinIogon.exe"
添加表项(Win9X):
"WindowsLogon"="%SystemRoot%\WinIogon.exe"
到下面的一项或者几项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Run
3.在Win9X系统,修改Win.ini和System.ini文件:
Win.ini
[windows]
load="C:\WINDOWS\WinIogon.exe"
run="C:\WINDOWS\WinIogon.exe"
System.ini
[boot]
shell=Explorer.exeC:\WINDOWS\WinIogon.exe
4.使用ICQ邮件或者CGI脚本发送给木马种植者本机系统信息,例如I本机P地址、监听端口、用户名、服务器版本、服务器密码等等。
5.开放TCP端口6333供外界木马种植者连接并控制本机(默认开放TCP端口5888、6888)。控制端可以对本机做以下操作:
复制、移动、删除以及执行文件;
查看或者关闭进程;
控制窗口;
抓取屏幕
抓取音频;
记录键盘消息;
控制网络摄像机并抓取图片;
盗取缓存中的密码;
上传下载文件;
关闭系统
控制电脑:打开关闭CD-ROM,改变键盘设置,隐藏/显示桌面,隐藏/显示任务栏,改变屏幕分辨率,控制鼠标等等;
查看浏览器历史记录;
盗取剪贴板信息;
盗取系统信息;
创建并运行批处理文件;
盗取系统文件;
运行DOS密码;
弹出假冒的MSN登陆用户窗口盗取MSN帐号和密码;
6.盗取游戏和软件的CDKEY以及序列号:
Counter-Strike
Half-Life
C&CGenerals
GunmanChronicles
AdobePhotoshop6.0
IGI2-CovertStrike
IndustryGiant2
JamesBond007-Nightfire
MedalOfHonor:AlliedAssault
MedalOfHonor:AlliedAssault-Spearhead
NeedForSpeed:HotPursuit2
Shogun:TotalWar-WarlordEdition
OperationFlashpoint
SoldiersOfAnarchy
UnrealTournament2003
FIFA2003
RedAlert2
RedAlertTiberianSun
OperationFlashpointResistance
SimCity4
USSpecialForces:TeamFactor
AdobePhotoshop7.0
AdobeIllustrator10.0
MIRC
MicroDVDPlayer
AdobePhotoshopPluginEyeCandy4.0
AdobePhotoshopPluginXenofex1.0
BorlandC++Builder6Key
BorlandC++Builder6Licence
Delphi6Key
Delphi6
Delphi7
MacromediaDreamweaverMX
MacromediaFlashMX
MacromediaFlash5
MacromediaFreehand10
MacromediaFireworksMX