病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
3133
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取银行等多种登录密码的木马病毒。
1.病毒首先将自身复制到%Windir%目录下,然后在注册表添加启动项,以实现开机自启:
[HKCU\Software\Microsoft\CurrentVersion\Run]
"Ole"="%WinDir%\病毒文件名"
2.接着病毒对自身路径进行判定,假如不是位于%WinDir%目录下,病毒将运行复制到
%WinDir%目录下的病毒体,然后退出;假如病毒位于%WinDir%目录下,病毒将继续
运行。病毒通过这种方法保证系统中只会有一个病毒进程在运行。
3.首先病毒利用ProtectedStorage服务获取本地机器的各种密码,包括:
Outlook密码
Outlook帐号密码
IE密码保存站点密码
MSN登陆密码
IE自动保存密码
4.然后病毒清楚Cookie,以便下次用户登录时,不得不输入密码,这样病毒就可以通
过监控键盘记录,获取密码信息。
5.接着,病毒有释放名为MS_DLL.dll动态链接库文件,并调用其中的钩子函数,对运
行窗口进行监控,当窗口为以下名字时,病毒就开始进行键盘监控:
Citi
Charter
RegisteredUsers
Charter-Home
WelcometoGCI.net,Alaska,27h,sInternet
WebMailLogin
COX.netfor
CoxHighSpeedInternetWebMail
Login
TotalAccess
ScreenNameSignIn
AOL.com
SIGNIN-Comcast.net
MemberIdentification
WelcomeToPatriotMedia
PatriotMedia
TDSMAIL
TDSInternetServices-ManageYourInternetAccount
WelcometoTDS:High-SpeedDSL,Dial-upandInternetServices
AT&TWorldnetLogin
BellSouth-WebE-mail
SusComStartPage-Home
suscom.netWebMail
PayPal
e-goldAccountAccess
AccountCreation
SignintoYahoo!
SignIn
GetaNewPasswordorSearchforYourICQNumber
GetaNewPassword
Earthlink
Billing
OptimumOnlineWebmail
bank
account
BankofAmerica|OnlineBanking|Enrollment
BankofAmerica|PleaseSelectYourState
BankofAmerica|OnlineBanking|GetHelpwithYourOnline
ID|EnterYourATMPIN
BankofAmerica|OnlineBanking|AccountsOverview
BankofAmerica|Home|Personal
BankOfAmericaOnlineBanking
WelcometoCiti
Citi-SignOn
Citi®U.S.Cards
CitibankLookupUserID
CitibankResetPassword
CitiBusinessOnline
AT&TUniversalSign-on
CapitalOneOnlineAccountServices-Login
CapitalOneOnlineBanking
CardmemberServices-Home
WelcometoCardmemberAccess
Fleet|FleetHomeLinkOnlineBankingandInvesting:Online
Banking:FleetHomeLink
e-goldAccountAccess
SignIn
iBillPaymentPage
HPshopping.com-signin
PayPal-LogIn
Fethardfinance
WellsFargoHomePage
BarclaysIBank
U.S.BankInternetBanking
RBCFinancialGroup-OnlineBanking
LloydsTSBonline-Welcome
KeyBank-OnlineBanking
WelcometoFlagstarBank,27h,sInternetBanking
Fool.com:Login
NatWestOnLineBanking
AIB24hour-online
WashingtonMutual-LogOn
EggSecurityLogin
HSBCBankplc:InternetBankingLogOn
Pleasesignin
Juniper-SaveTimeandMoneywiththeJuniperCreditCard
6.病毒还建立线程,每隔10毫秒清空clipboard,使用户不得不用键盘输入密码。
7.获取密码后,病毒利用自带的smtp引擎将这些信息发送到指定的信箱。
