病毒名称(中文):
窃听木马184320
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
77816
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个黑客木马。该木马会修注册表,添加自己的监视程序。系统启动时,它着随Exlporer.exe启动,然后利用监视程序拦截用户访问网络时输入的敏感数据。
1.复制文件:
%sys32dir%\ro.dll
2.添加到到注册表:
添加以下注册表项,添加到ShellExcuteHooks和SPI:
[KEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FDEB171-8F86-4669-B664-69B8DB553683}\InProcServer32]
@"C:\WINDOWS\system32\ro.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{3FDEB171-8F86-4669-B664-69B8DB553683}""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\SockEyeS]
1001"%SystemRoot%\system32\mswsock.dll"
PathName"C:\WINDOWS\system32\ro.dll"
3.破坏方式
该木马运行后,复制自身到系统文件夹,在注册表中添加ShellExcuteHooks项,在系统启动后随Exlporer.exe启动,
另外还通过添加到WinSock的注册表项,添加到SPI,拦截用户访问网络的敏感数据,将敏感数据发送给收集者。