请输入您要查询的百科知识:

 

词条 TrojanSpy.Qukart.a
释义

TrojanSpy.Qukart.a

病毒长度:46,592 字节 6,657 字节

病毒类型:木马

危害等级:*

影响平台:Win9X/2000/XP/NT/Me

TrojanSpy.Qukart.a是盗取银行密码的木马,通过一个假冒的网页来骗取用户输入,从而盗取密码,帐户等用户的信息。

传播过程及特征:

1.生成文件:

%SystemDir%\\aaladg32.dll, 6657字节

%SystemDir%\\efleabgn.exe, 46592字节

2.修改注册表:

/添加键值:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad]

"Web Event Logger" = {79feacff-ffce-815e-a900-316290b5b738}

[HKEY_CLASSES_ROOT\\CLSID\\{79FEACFF-FFCE-815E-A900-316290B5B738}\\InProcServer32]

"(Default)" = "aaladg32.dll"

"ThreadingModel" = "Apartment"

[HKEY_CURRENT_USER\\Software\\Microsoft]

"QueenKarton" = 0xb

[HKEY_USERS\\.DEFAULT\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\BrowseNewProcess]

"BrowseNewProcess" = "yes"

/修改键值:

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0]

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1]

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2]

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3]

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\4]

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\5]

"1601" = "0"

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings]

"GlobalUserOffline" = "0"

3.生成多个%Temp%\\<8个任意字符>.htm,并在IE中打开,导致访问特定的URL。

4.从感染的计算机上收集密码并从一些打开的IE界面中途截取信息。

5.在系统目录下生成文件保存密码信息和下载的数据,文件名为:

dnkkq.dll

kkq32.vxd

kkq32.dll

Rtdx1.dat

并将密码信息传送给攻击者,通过HTTP发送query string的方式,此外下载下来的数据将被上传到特定的站点。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 22:27:31