词条 | TrojanSpy.Qukart.a |
释义 | TrojanSpy.Qukart.a 病毒长度:46,592 字节 6,657 字节 病毒类型:木马 危害等级:* 影响平台:Win9X/2000/XP/NT/Me TrojanSpy.Qukart.a是盗取银行密码的木马,通过一个假冒的网页来骗取用户输入,从而盗取密码,帐户等用户的信息。 传播过程及特征: 1.生成文件: %SystemDir%\\aaladg32.dll, 6657字节 %SystemDir%\\efleabgn.exe, 46592字节 2.修改注册表: /添加键值: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad] "Web Event Logger" = {79feacff-ffce-815e-a900-316290b5b738} [HKEY_CLASSES_ROOT\\CLSID\\{79FEACFF-FFCE-815E-A900-316290B5B738}\\InProcServer32] "(Default)" = "aaladg32.dll" "ThreadingModel" = "Apartment" [HKEY_CURRENT_USER\\Software\\Microsoft] "QueenKarton" = 0xb [HKEY_USERS\\.DEFAULT\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\BrowseNewProcess] "BrowseNewProcess" = "yes" /修改键值: [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0] [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1] [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2] [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3] [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\4] [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\5] "1601" = "0" [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings] "GlobalUserOffline" = "0" 3.生成多个%Temp%\\<8个任意字符>.htm,并在IE中打开,导致访问特定的URL。 4.从感染的计算机上收集密码并从一些打开的IE界面中途截取信息。 5.在系统目录下生成文件保存密码信息和下载的数据,文件名为: dnkkq.dll kkq32.vxd kkq32.dll Rtdx1.dat 并将密码信息传送给攻击者,通过HTTP发送query string的方式,此外下载下来的数据将被上传到特定的站点。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。