词条 | Win32.Hack.Dumador.cx |
释义 | 病毒别名: 处理时间:2005-08-14 威胁级别:★ 中文名称: 病毒类型:黑客程序 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 这是一个后门病毒。病毒运行后,会监控clipboard、键盘,搜索FTP工具软件的配置 文件,获取用户IP、密码等信息。并利用自带的smtp引擎将记录的信息发送到指定的 信箱。 1. 病毒通过建立名为“Stamm-804”的全局原子体,以保证只有一个病毒体在运行。 2. 释放大小为4096字节的动态链接文件winsms.dll到%WinDir%目录下,并调用其中 的函数隐藏进程。 3. 将自身拷贝到%System%目录下,命名为winldra.exe,并修改注册表建立启动项, 从而达到开机自启的目的: [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "load32" = "%System%\\winldra.exe" 4. 病毒体还会添加如下注册表项,记录病毒的各种操作: [HKCU\\Software\\SARS] 5. 在%WinDir%目录下生成netdx.dat文件,存储加密的字符集; 6. 修改hosts文件,屏蔽著名安全站点,包括: 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 rads.mcafee.com 127.0.0.1 customer.symantec.com 等。 7. 建立线程,监控clipboard的内容,将clipboard的内容记录在%WinDir%\\prntc.log 文件中。 8. 建立线程,监控键盘,如果当前窗口标题包含有以下敏感文字,则将键盘键入的内容 记录在%WinDir%\\\\prntk.log文件中: "Bank" "PayPal" "ebay" "Casino" 等。 9. 搜索FTP工具软件(如totalcmd)的配置文件,获取用户IP、密码等信息,并存储在 %Temp%\\fe*.htm文件中。 10. 利用自带的smtp引擎将记录的信息发送到指定的信箱。 11. 监听TCP 9125端口,等待远程控制指令。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。