请输入您要查询的百科知识:

 

词条 Worm.Troj.Ciadoor.12
释义

Worm.Troj.Ciadoor.12是一个集多种盗取手段于一身的后门病毒。该病毒文件图标为图片文件图标,诱骗用户运行。一旦用户运行之后,该病毒将自己复制到系统目录,改成于系统进程极其相似的文件名,迷惑用户。

病毒概述

病毒别名:Backdoor.Win32.Ciadoor.122.d[AVP]

处理时间:

威胁级别:★★

中文名称:间谍之门

病毒类型:蠕虫

影响系统:Win9x / WinNT

病毒性质

值得一提的是,该病毒的优先级别是实时。它修改注册表使自己能开机运行。然后打开后门,并将用户的系统信息,例如本机IP地址、监听端口、用户名、连接密码等发送的指定地方,等待外界连接。木马种植者获取这些信息之后就可以连接到中了该病毒的用户电脑,几乎可以完全控制该用户的电脑:进行各种文件操作,查看或者关闭进程,控制窗口,获取视频、音频,记录键盘消息,盗取缓存中的密码,关闭系统,更改电脑的各种设置,查看浏览器历史记录,盗取剪贴板信息,盗取系统信息;它还盗取各种密码,包括游戏和软件的CDKEY以及序列号。

病毒行为

1.在WinNT系统将自己复制为%System32%\\WinIogon.exe,并且释放文件%System32%\\%System32%\\ckl009.dat,病毒进程优先级为实时;在Win9X系统将自己复制为%SystemRoot%\\WinIogon.exe,

2.修改注册表:

添加表项(WinNT):

"Windows Logon"="%System32%\\WinIogon.exe"

到下面的一项或者几项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run

修改表项:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

"run"="WinIogon.exe"

"load"="WinIogon.exe"

修改表项(WinNT):

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\winlogon

"shell"="Explorer.exe WinIogon.exe"

添加表项(Win9X):

"Windows Logon"="%SystemRoot%\\WinIogon.exe"

到下面的一项或者几项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\winlogon

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run

3.在Win9X系统,修改Win.ini和System.ini文件:

Win.ini

[windows]

load="C:\\WINDOWS\\WinIogon.exe"

run="C:\\WINDOWS\\WinIogon.exe"

System.ini

[boot]

shell=Explorer.exe C:\\WINDOWS\\WinIogon.exe

4.使用ICQ邮件或者CGI脚本发送给木马种植者本机系统信息,例如I本机P地址、监听端口、用户名、服务器版本、服务器密码等等。

5.开放TCP端口6333供外界木马种植者连接并控制本机(默认开放TCP端口5888、6888)。控制端可以对本机做以下操作:

复制、移动、删除以及执行文件;

查看或者关闭进程;

控制窗口;

抓取屏幕

抓取音频;

记录键盘消息;

控制网络摄像机并抓取图片;

盗取缓存中的密码;

上传下载文件;

关闭系统

控制电脑:打开关闭CD-ROM,改变键盘设置,隐藏/显示桌面,隐藏/显示任务栏,改变屏幕分辨率,控制鼠标等等;

查看浏览器历史记录;

盗取剪贴板信息;

盗取系统信息;

创建并运行批处理文件;

盗取系统文件;

运行DOS密码;

弹出假冒的MSN登陆用户窗口盗取MSN帐号和密码;

6.盗取游戏和软件的CDKEY以及序列号:

Counter-Strike

Half-Life

C&C Generals

Gunman Chronicles

Adobe Photoshop 6.0

IGI 2 - Covert Strike

Industry Giant 2

James Bond 007 - Nightfire

Medal Of Honor: Allied Assault

Medal Of Honor: Allied Assault - Spearhead

Need For Speed: Hot Pursuit 2

Shogun: Total War - Warlord Edition

Operation Flashpoint

Soldiers Of Anarchy

Unreal Tournament 2003

FIFA 2003

Red Alert 2

Red Alert Tiberian Sun

Operation Flashpoint Resistance

Sim City 4

US Special Forces: Team Factor

Adobe Photoshop 7.0

Adobe Illustrator 10.0

MIRC

Micro DVD Player

Adobe Photoshop Plugin Eye Candy 4.0

Adobe Photoshop Plugin Xenofex 1.0

Borland C++ Builder 6 Key

Borland C++ Builder 6 Licence

Delphi 6 Key

Delphi 6

Delphi 7

Macromedia Dreamweaver MX

Macromedia Flash MX

Macromedia Flash 5

Macromedia Freehand 10

Macromedia Fireworks MX

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/2 3:23:00