病毒名称(中文):
FTP资源吸血鬼135168
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
偷密码的木马
病毒长度:
135168
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个用于盗窃FTP资源的盗号木马。病毒经过了复杂的加密,试图阻止反病毒软件厂商的查杀。假如运行起来,它就会从用户系统中的FTP相关软件(比如CuteFTP这样的工具)中盗取用户保存的FTP连接地址、帐号信息等敏感数据,然后发送到病毒作者指定的地址。
运行后释放病毒文件:
%systemroot%\system32\aspimgr.exe
病毒配置文件(已加密数据):
%systemroot%\ws386.ini
%systemroot%\db32.txt
%systemroot%\s32.txt
病毒所有重要数据都经过加密处理(包括字符串、API函数等).
所有API函数都是通过运行时调用GetProcAddress获取,并在之后调用.
假如病毒文件名包含了以下字符串"flash"、"java"、"msupdate",则在运行时分别弹出不同的对话框窗口,内容如下:
flash:ThelatestversionofAdobeFlashPlayerisalreadyinstalledonyoursystem.
java:ThelatestversionofSunJavaRuntimeEnvironmentisalreadyinstalledonyoursystem.
msupdate:ThelatestWindowssecurityupdatesarealreadyinstalledonyoursystem.
把字符串"version=427"加密后写入%systemroot%\ws386.ini文件.
获取%systemdrive%\DocumentandSettings\当前用户\ApplicationData和%systemdrive%\DocumentandSettings\AllUsers\ApplicationData两个路径,分别读取这两个路径下的下层路径"\GlobalSCAPE\\CuteFTP\2.0\"的sm.dat文件.
注重:GlobalSCAPE\\CuteFTP\2.0\这里会分别读取2.0、3.0、5.0、6.0、7.0、8.0的软件版本号.
还会读取GlobalSCAPE\CuteFTPPro和GlobalSCAPE\CuteFTPHome\这两上下层路径,读取的软件版本号与上一个一样.
这步操作只有读取,并无实际的盗取行为.
获取%systemroot%\win.ini文件路径,读取文件里的[WS_FTP]下的DIR或DEFDIR两个字段的值与"ws_ftp.ini"连接成文件路径.
得到该文件里所有Host(连接的FTP地址)、Uid(用户名)和Pwd(密码).
同样获取%systemdrive%\DocumentandSettings\当前用户\ApplicationData和%systemdrive%\DocumentandSettings\AllUsers\ApplicationData两个路径.分别枚举读取这两个路径下的下层路径"Ipswitch\WS_FTP\Sites"、"IpSwitch\WS_FTPHome\Sites"、"Ipswtich\WS_FTPProfessional\Sites"下的所有ini格式文件,并得到所有ini文件里的Host(连接的FTP地址)、Uid(用户名)和Pwd(密码).
枚举注册表HKEY_CURRENT_USER\Software\Far\Plugins\FTP\Hosts下的所有键,得到每个键下的HostName,Description,User,Password的值.
把得到的所有信息(Host,Uid,Pwd)写入%windir%\db32.txt文件里,
病毒创建系统服务启动:
Key:"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aspimgr"
ImagePath:"%systemroot%\system32\aspimgr.exe"
DisplayName:"MicrosoftASPIManager"
ObjectName:"Localsystem"