词条 | Worm.Troj.Ciadoor.12 |
释义 | Worm.Troj.Ciadoor.12是一个集多种盗取手段于一身的后门病毒。该病毒文件图标为图片文件图标,诱骗用户运行。一旦用户运行之后,该病毒将自己复制到系统目录,改成于系统进程极其相似的文件名,迷惑用户。 病毒概述病毒别名:Backdoor.Win32.Ciadoor.122.d[AVP] 处理时间: 威胁级别:★★ 中文名称:间谍之门 病毒类型:蠕虫 影响系统:Win9x / WinNT 病毒性质值得一提的是,该病毒的优先级别是实时。它修改注册表使自己能开机运行。然后打开后门,并将用户的系统信息,例如本机IP地址、监听端口、用户名、连接密码等发送的指定地方,等待外界连接。木马种植者获取这些信息之后就可以连接到中了该病毒的用户电脑,几乎可以完全控制该用户的电脑:进行各种文件操作,查看或者关闭进程,控制窗口,获取视频、音频,记录键盘消息,盗取缓存中的密码,关闭系统,更改电脑的各种设置,查看浏览器历史记录,盗取剪贴板信息,盗取系统信息;它还盗取各种密码,包括游戏和软件的CDKEY以及序列号。 病毒行为1.在WinNT系统将自己复制为%System32%\\WinIogon.exe,并且释放文件%System32%\\%System32%\\ckl009.dat,病毒进程优先级为实时;在Win9X系统将自己复制为%SystemRoot%\\WinIogon.exe, 2.修改注册表: 添加表项(WinNT): "Windows Logon"="%System32%\\WinIogon.exe" 到下面的一项或者几项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run 修改表项: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows "run"="WinIogon.exe" "load"="WinIogon.exe" 修改表项(WinNT): HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\winlogon "shell"="Explorer.exe WinIogon.exe" 添加表项(Win9X): "Windows Logon"="%SystemRoot%\\WinIogon.exe" 到下面的一项或者几项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\winlogon HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run 3.在Win9X系统,修改Win.ini和System.ini文件: Win.ini [windows] load="C:\\WINDOWS\\WinIogon.exe" run="C:\\WINDOWS\\WinIogon.exe" System.ini [boot] shell=Explorer.exe C:\\WINDOWS\\WinIogon.exe 4.使用ICQ邮件或者CGI脚本发送给木马种植者本机系统信息,例如I本机P地址、监听端口、用户名、服务器版本、服务器密码等等。 5.开放TCP端口6333供外界木马种植者连接并控制本机(默认开放TCP端口5888、6888)。控制端可以对本机做以下操作: 复制、移动、删除以及执行文件; 查看或者关闭进程; 控制窗口; 抓取屏幕 抓取音频; 记录键盘消息; 控制网络摄像机并抓取图片; 盗取缓存中的密码; 上传下载文件; 关闭系统 控制电脑:打开关闭CD-ROM,改变键盘设置,隐藏/显示桌面,隐藏/显示任务栏,改变屏幕分辨率,控制鼠标等等; 查看浏览器历史记录; 盗取剪贴板信息; 盗取系统信息; 创建并运行批处理文件; 盗取系统文件; 运行DOS密码; 弹出假冒的MSN登陆用户窗口盗取MSN帐号和密码; 6.盗取游戏和软件的CDKEY以及序列号: Counter-Strike Half-Life C&C Generals Gunman Chronicles Adobe Photoshop 6.0 IGI 2 - Covert Strike Industry Giant 2 James Bond 007 - Nightfire Medal Of Honor: Allied Assault Medal Of Honor: Allied Assault - Spearhead Need For Speed: Hot Pursuit 2 Shogun: Total War - Warlord Edition Operation Flashpoint Soldiers Of Anarchy Unreal Tournament 2003 FIFA 2003 Red Alert 2 Red Alert Tiberian Sun Operation Flashpoint Resistance Sim City 4 US Special Forces: Team Factor Adobe Photoshop 7.0 Adobe Illustrator 10.0 MIRC Micro DVD Player Adobe Photoshop Plugin Eye Candy 4.0 Adobe Photoshop Plugin Xenofex 1.0 Borland C++ Builder 6 Key Borland C++ Builder 6 Licence Delphi 6 Key Delphi 6 Delphi 7 Macromedia Dreamweaver MX Macromedia Flash MX Macromedia Flash 5 Macromedia Freehand 10 Macromedia Fireworks MX |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。