请输入您要查询的百科知识:

 

词条 Win32.Troj.Dumador.ai
释义

简介

病毒别名:

处理时间:

威胁级别:★

中文名称:密码大盗b

病毒类型:木马

影响系统:Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

fsg压缩

传染条件:

伪装成有用的工具诱使用户下载运行

发作条件

这是一个偷取各种帐号密码和银行帐号的木马,当用户访问特定页面时,该木马就会记录用户的键盘记录并将记录的结果通过Email发送给攻击者。

系统修改

1,拷贝自身到:

%System%Swchost.exe

%System%Svohost.exe

%Startup%Svchost.exe

2,建立下列文件:

%Windir%Rundlln.sys

%Windir%Prntsvr.dll

%Windir%Tempfeff35a0.htm

%Windir%Tempfe43e701.htm

%Windir%Tempfa4537ef.tmp

3,向注册表添加:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"load32"="%System%swchost.exe"

4,添加

HKEY_LOCAL_MACHINESOFTWARESARS

HKEY_USERS.DEFAULTSOFTWARESARS

作为感染标记

5,建立%Windir%Prntsvr.dll用来hook键盘消息以便记录

6,修改

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon

"explorer.exe"

为:

"explorer.exe %System%svohost.exe"

7,修改 %Windir%System.ini文件中

"Shell"="Explorer.exe"

为:

"Shell"="explorer.exe %System%svohost.exe"

8,当用户访问http:/ /www.whatpornsite.com/css/logger.php页面时,将会开始记录帐号密码

9,修改%System%Driversetchosts文件:

127.0.0.1 avp.com

127.0.0.1 ca.com

127.0.0.1 customer.symantec.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 networkassociates.com

127.0.0.1 rads.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 sophos.com

127.0.0.1 symantec.com

127.0.0.1 trendmicro.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 viruslist.com

127.0.0.1 www.avp.com

127.0.0.1 www.ca.com

127.0.0.1 www.f-secure.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.mcafee.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.nai.com

127.0.0.1 www.networkassociates.com

127.0.0.1 www.sophos.com

127.0.0.1 www.symantec.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.viruslist.com

用来阻止用户升级病毒库和访问有关安全类的网站。

发作现象:

木马运行后用户将无法正常访问下列网址:

avp.com

ca.com

customer.symantec.com

dispatch.mcafee.com

download.mcafee.com

f-secure.com

kaspersky.com

liveupdate.symantec.com

liveupdate.symantecliveupdate.com

mast.mcafee.com

mcafee.com

my-etrust.com

nai.com

networkassociates.com

rads.mcafee.com

secure.nai.com

securityresponse.symantec.com

sophos.com

symantec.com

trendmicro.com

update.symantec.com

updates.symantec.com

us.mcafee.com

viruslist.com

www.avp.com

www.ca.com

www.f-secure.com

www.kaspersky.com

www.mcafee.com

www.my-etrust.com

www.nai.com

www.networkassociates.com

www.sophos.com

www.symantec.com

www.trendmicro.com

www.viruslist.com

并且会在%System%目录发现下列两个文件:

Swchost.exe

Svohost.exe

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 16:15:45