病毒名称(中文):
泡泡幽灵
病毒别名:
Backdoor.Win32.Verify.i[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
45056
影响系统:
Win9xWinNT
病毒行为:
这是一个记录用户键盘按键信息以及窗口信息的木马病毒。病毒图标与网易泡泡的图标很相似,而且生成一个DLL文件MsIdle32Hook.dll,类似
网易泡泡的一个DLL问,以此迷惑用户。然后通过该DLL来挂钩系统键盘消息,截获用户的按键信息以及对应的窗口信息,保存在系统system32
目录下名为pMK_kLogF.txt、pMK_kLog.txt和pMK_wLog.txt中,到达一定时间将记录的信息发送到指定的邮箱。设置时钟不断的将自身加载到启
动项;发送上线通知到预定网址,打开两个后门端口,等待外界发来的控制命令;静静在系统中添加治理员帐号;下载网络文件到本地计算机
运行;文件还包含字符串“Loveyou*Huong*”
1.将自身复制到%System%\pVF.pMK下,并%System%在生成以下文件:
MsIdle32Hook.dll
MsIdle32loader.dll
pMK_kLogF.txt
pMK_kLog.txt
pMK_wLog.txt
其中:
MsIdle32Hook.dll用来挂钩系统键盘消息,以此截取用户的按键信息和对应的窗口信息;
MsIdle32loader.dll用来加载木马MsIdle32Hook.dll;
pMK_kLogF.txt、pMK_kLog.txt记录按键信息;
pMK_wLog.txt记录窗口信息;
到达一定时间将记录的信息按键和窗口信息发送到指定的邮箱
%SystemRoot%下生成文件:
csrss.exe
smss.exe
smss.exe病毒运行体。
2.设置时钟设置时钟不断的将自身加载到启动项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"csrss.exe"="%SystemRoot%\csrss.exe"
可能修改注册表禁止打开注册表编辑器和任务治理器:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableTaskMgr"=dword:0x1
3.发送上线通知到预定网址,并到指定的网址下载文件到本地计算机运行。
4.可能将自身复制到局域网中可写目录,以感染更多计算机,开设共享目录,添加治理员帐号。
5.监听端口1906和1907,等待外界攻击者连接,并执行其发来的控制指令。