Win32.Troj.Hugedoor.a.202792

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

敏感资料盗窃者202792

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

偷密码的木马

病毒长度:

202792

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个窃取信息的木马。它主要用来盗取黑客希望得到的信息。该程序会记录IE浏览器提交的所以用户名密码,以及OutLook、Foxmail等所有邮件工具的账号密码及服务器信息。同时,它还会记录QQ、ICQ、MSN的账号密码。

1.病毒运行后,首先使用MoveFileEx将自己重命名为NEW~.tmp(~为随机),以原文件名释放一个约200M的病毒文件(绝大多数为垃圾数据),执行。接着在当前用户临时目录释放一个无效文件执行并删除(估计为未来升级预备)。退出。

上一步释放出文件的行为:

1.试图OpenMutex打开事件"Global\Sysinfo",释放病毒文件到C:\WINDOWS\system32\kernel.dll(该文件属性伪装成类似微软的文件),并检测其配置信息,然后获取系统文件C:\WINDOWS\system32\userinit.exe文件的时间信息,设置给kernel.dll。

2.LoadLibrary加载kernel.dll,调用其导出函数InstallServ进行病毒的安装。创建如下系统服务并启动:

服务名:WmdmPmSN

名称:PortableMediaSerialNumberService

描述为:Retrievestheserialnumberofanyportablemediaplayerconnectedtothiscomputer.Ifthisserviceisstopped,protectedcontentmightnotbedownloadedtothedevice.

3.退出

kernel.dll行为:

1.记录iexplorer.exe浏览器所有含TEXT和PASSWORD字样提交的内容。

2.记录outlook.exe,msimn.exe,foxmail.exe所有发出邮件的时间、用户名、密码、邮件服务器。

3.记录qq.exe,icq.exe,icqlite.exe,msmsgs.exe等即时通讯工具的帐号,密码。

4.停止本机ccProxy代理服务器服务。

5.释放驱动程序进行自保护,服务名为Fu53xyz,进行隐藏端口、IP、抗监视器等操作。

6.挂全局钩子WH_CALLWNDPROC,WH_GETMESSAGE,WH_KEYBOARD_LL。

7.检测下列网络监控进程,若有则暂停传输数据,2分钟后再次检测:

sniffer.exe、CV.exe、windump.exeiris.exe、tcpview、aports.exe、ethereal.exe。

8.创建盗窃文件线程,上传文件目录列表,在系统Recent打开过文档的目录中搜索符合条件的doc,txt,pdf,rar等文件打包进行上传。

9.创建线程获取系统信息,包括操作系统信息,系统名,用户名IP,地区,语言,磁盘,网卡,文件系统,屏幕分辨率。。。。、

10.创建线程截取屏幕上传。

11.连接下列网站检测网络:update.microsoft.com、www.microsoft.com、www.yahoo.com、www.hinet.net、www.sina.com.cn.

12.使用UpdateResource等函数对遍历到的exe文件进行添加资源形式的感染,不过未找到调用方式,迷惑。。遍历到的rar文件解压到临时目录,该上传的上传,该感染的感染,完毕后打包还原。

13.所有行为结束后,停止服务。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航