§ 概述

病毒别名：

处理时间：2004-07-07

威胁级别：★

中文名称：密码大盗b

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

vc

传染条件:

伪装成流行软件的新版本诱使用户下载运行

发作条件:

在用户双击运行后,病毒将会监视用户访问特定页面的键盘记录.

§ 病毒特性

系统修改:

1,建立%System%Drvin目录

2,当用户访问下列网址时,病毒会记录用户的键盘输入:

www.e-gold.com

www.e-gold.com/srk.asp

online-business.lloydstsb.co.uk/logon.ibc

online-business.lloydstsb.co.uk/customer.ibc

online.lloydstsb.co.uk/logon.ibc

online.lloydstsb.co.uk/customer.ibc

olb2.nationet.com/default2.asp

ibank.barclays.co.uk/fp/1_2d

www.ukpersonal.hsbc.co.uk/public/ukpersonal/internet_banking/en/logon.jhtml

www.ebank.hsbc.co.uk/logonindex.jsp

olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp?ID=

3,与此同时,病毒监视剪贴板的内容,并进行屏幕截图.

4,将监视结果存入%System%Drvin目录,文件扩展名一般为bmp,txt,rar.

5,病毒最后将监视结果通过自己的smtp发信引擎将监视结果发送给攻击者.

6,添加下列注册表键值,作为该机器感染标记,防止重复监视:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPawerISwi = %datatime value%

HKEY_LOCAL_MACHINESOFTWAREMicrosoftOarsCount

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPdot

发作现象:

1,中毒用户会在%System%发现名为Drvin的目录,并且该文件夹存放有扩展名为bmp,txt,rar的文件,打开bmp文件,将会发现是用户以前某个时间的截图.

2,会在注册表发现一下键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPawerISwi = %datatime value%

HKEY_LOCAL_MACHINESOFTWAREMicrosoftOarsCount

HKEY_LOCAL_MACHINESOFTWAREMicrosoftPdot

特别说明:

• 曾贞焕烈士
• 曾贞考烈士
• 曾贞辉烈士
• 曾贤超烈士
• 曾贯万
• 曾贱生烈士
• 曾贱苟烈士
• 曾贱长烈士
• 曾贵龙
• 曾贻松烈士
• 曾赖尿子烈士
• 曾赤女烈士
• 曾赤牙婆烈士
• 曾赤牙子烈士
• 曾赵明烈士
• 曾超
• 曾超儿
• 曾超然
• 曾超豪
• 曾足香烈士
• 曾跎背烈士
• 曾躬修烈士
• 曾转秀烈士
• 曾辉烈士
• 曾辛凤烈士