请输入您要查询的百科知识:

 

词条 Win32.Hack.Dumador.cx
释义

病毒别名:

处理时间:2005-08-14

威胁级别:★

中文名称:

病毒类型:黑客程序

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个后门病毒。病毒运行后,会监控clipboard、键盘,搜索FTP工具软件的配置

文件,获取用户IP、密码等信息。并利用自带的smtp引擎将记录的信息发送到指定的

信箱。

1. 病毒通过建立名为“Stamm-804”的全局原子体,以保证只有一个病毒体在运行。

2. 释放大小为4096字节的动态链接文件winsms.dll到%WinDir%目录下,并调用其中

的函数隐藏进程。

3. 将自身拷贝到%System%目录下,命名为winldra.exe,并修改注册表建立启动项,

从而达到开机自启的目的:

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"load32" = "%System%\\winldra.exe"

4. 病毒体还会添加如下注册表项,记录病毒的各种操作:

[HKCU\\Software\\SARS]

5. 在%WinDir%目录下生成netdx.dat文件,存储加密的字符集;

6. 修改hosts文件,屏蔽著名安全站点,包括:

127.0.0.1 www.trendmicro.com

127.0.0.1 trendmicro.com

127.0.0.1 rads.mcafee.com

127.0.0.1 customer.symantec.com

等。

7. 建立线程,监控clipboard的内容,将clipboard的内容记录在%WinDir%\\prntc.log

文件中。

8. 建立线程,监控键盘,如果当前窗口标题包含有以下敏感文字,则将键盘键入的内容

记录在%WinDir%\\\\prntk.log文件中:

"Bank"

"PayPal"

"ebay"

"Casino"

等。

9. 搜索FTP工具软件(如totalcmd)的配置文件,获取用户IP、密码等信息,并存储在

%Temp%\\fe*.htm文件中。

10. 利用自带的smtp引擎将记录的信息发送到指定的信箱。

11. 监听TCP 9125端口,等待远程控制指令。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 13:59:55