下載地址:http://www.q.cc/2006/01/10/10673.html
作者:kings
【賽迪網-IT技術報道】Win32.PSWTroj.OnLineGames.xn.108627是一個盜號木馬程序。它利用鍵盤記錄的方法,記錄下用戶輸入的全部信息,進行加密後發送給病毒作者。
病毒名稱(中文):鍵盤記錄員108627
威脅級別:★★☆☆☆
病毒類型:偷密碼的木馬
病毒長度:108627
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這個病毒是一個盜號木馬程序。它利用鍵盤記錄的方法,記錄下用戶輸入的全部信息,進行加密後發送給病毒作者。病毒作者通過一定技術手段,就可以從這些信息中篩選出用戶的各類賬號和密碼。
1.程序運行後,生成文件
%system32%/mmvo.exe%system32%/mmvo0.dll
%Temp%/snj4.dll 這個文件名是隨機的
2.在注冊表中添加了注冊項,如下:
[HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"mmva"="%system32%/mmvo.exe"
3.木馬會自動刪除原文件本身;
4.木馬可以修改SSDT(系統服務調度表),從而躲過各種殺毒軟件查殺的目的;木馬將mmvo0.dll注入到explorer進程中,把病毒文件屬性設置為系統隱藏加只讀,並且監視注冊表的修改,把CheckedValue改成0,讓用戶無法顯示隱藏文件,監視用戶的鼠標,鍵盤操作,從而獲得用戶的游戲賬號和密碼信息,成功獲取信息之後,病毒便將信息加密後以郵件的形式通過SMTP和網頁收信空間發送給木馬作者。
(責任編輯:李磊)
作者:king
【賽迪網-IT技術報道】Win32.Troj.DownLoaderT.dl.69632是一個木馬下載器程序。它進入用戶系統後會注入到桌面進程explorer.exe 和 登錄管理器進程winlogon.exe中,執行秘密下載。
病毒名稱(中文):武裝下載器69632
威脅級別:★★☆☆☆
病毒類型:木馬下載器
病毒長度:69632
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這是一個木馬下載器程序。它進入用戶系統後會注入到桌面進程explorer.exe和登錄管理器進程winlogon.exe中,執行秘密下載。同時,該木馬會試圖關閉系統自帶的錯誤報告系統和部分殺毒軟件,防止用戶對它進行查殺。
1.關閉系統錯誤報告服務(ERSvc):
修改HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporting的DoReport、ShowUI、ReportBootOk,鍵為0。
2.修改注冊表項,隱藏文件
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL
鍵值:"CheckedValue"=dWord:00000000。
3.修改日期:
修改系統日期為2005年。
4.創建c:/autorun.inf 文件。
[AutoRun]open=auto.exeshellexecute=auto.exeshell/Auto/command=auto.exe
5.修改注冊表、新建服務,並以服務的方式達到隨機啟動的目的:
HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Services/dd33gsd2鍵值 : 字串 : "ImagePath"="C:/WINDOWS/system32/dd33gsd2.exe -k"服務名稱: dd33gsd2顯示名稱: dd33gsd2描述: dd33gsd2可執行文件的路徑: C:/WINDOWS/system32/dd33gsd2.exe啟動方式:自動
6.查找對話框窗口,判斷窗口類是否為"Button",窗口名為"是(&Y)",如果是則向該窗口發送左鍵按下消息,以關閉該窗口。
7.查找是否存在KAVStart進程,如果存在則向其"操作"菜單發送"退出"命令。
8.從http://al**a.ve**nx.cn/update.txt下載木馬地址列表。該列表包含了木馬程序的下載地址信息。
(責任編輯:李磊)