病毒名称(中文):
敏感资料盗窃者202792
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
202792
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个窃取信息的木马。它主要用来盗取黑客希望得到的信息。该程序会记录IE浏览器提交的所以用户名密码,以及OutLook、Foxmail等所有邮件工具的账号密码及服务器信息。同时,它还会记录QQ、ICQ、MSN的账号密码。
1.病毒运行后,首先使用MoveFileEx将自己重命名为NEW~.tmp(~为随机),以原文件名释放一个约200M的病毒文件(绝大多数为垃圾数据),执行。接着在当前用户临时目录释放一个无效文件执行并删除(估计为未来升级预备)。退出。
上一步释放出文件的行为:
1.试图OpenMutex打开事件"Global\Sysinfo",释放病毒文件到C:\WINDOWS\system32\kernel.dll(该文件属性伪装成类似微软的文件),并检测其配置信息,然后获取系统文件C:\WINDOWS\system32\userinit.exe文件的时间信息,设置给kernel.dll。
2.LoadLibrary加载kernel.dll,调用其导出函数InstallServ进行病毒的安装。创建如下系统服务并启动:
服务名:WmdmPmSN
名称:PortableMediaSerialNumberService
描述为:Retrievestheserialnumberofanyportablemediaplayerconnectedtothiscomputer.Ifthisserviceisstopped,protectedcontentmightnotbedownloadedtothedevice.
3.退出
kernel.dll行为:
1.记录iexplorer.exe浏览器所有含TEXT和PASSWORD字样提交的内容。
2.记录outlook.exe,msimn.exe,foxmail.exe所有发出邮件的时间、用户名、密码、邮件服务器。
3.记录qq.exe,icq.exe,icqlite.exe,msmsgs.exe等即时通讯工具的帐号,密码。
4.停止本机ccProxy代理服务器服务。
5.释放驱动程序进行自保护,服务名为Fu53xyz,进行隐藏端口、IP、抗监视器等操作。
6.挂全局钩子WH_CALLWNDPROC,WH_GETMESSAGE,WH_KEYBOARD_LL。
7.检测下列网络监控进程,若有则暂停传输数据,2分钟后再次检测:
sniffer.exe、CV.exe、windump.exeiris.exe、tcpview、aports.exe、ethereal.exe。
8.创建盗窃文件线程,上传文件目录列表,在系统Recent打开过文档的目录中搜索符合条件的doc,txt,pdf,rar等文件打包进行上传。
9.创建线程获取系统信息,包括操作系统信息,系统名,用户名IP,地区,语言,磁盘,网卡,文件系统,屏幕分辨率。。。。、
10.创建线程截取屏幕上传。
11.连接下列网站检测网络:update.microsoft.com、www.microsoft.com、www.yahoo.com、www.hinet.net、www.sina.com.cn.
12.使用UpdateResource等函数对遍历到的exe文件进行添加资源形式的感染,不过未找到调用方式,迷惑。。遍历到的rar文件解压到临时目录,该上传的上传,该感染的感染,完毕后打包还原。
13.所有行为结束后,停止服务。
