请输入您要查询的百科知识:

 

词条 Worm/Nibu.g
释义

I-Worm/Nibu.g

病毒长度:21,088 字节

病毒类型:网络蠕虫

危害等级:*

影响平台:Win9X/2000/XP/NT/Me/2003

I-Worm/Nibu.g经FSG压缩过,试图通过记录键击信息盗取银行帐号及密码,并允许黑客远程访问感染的计算机。

传播过程及特征:

1.复制自身为:

%System%\\Swchost.exe

%System%\\Svohost.exe

%Startup%\\Svchost.exe

生成文件:

%Windir%\\Rundlln.sys

%Windir%\\Prntsvr.dll

%Windir%\\Temp\\feff35a0.htm

%Windir%\\Temp\\fe43e701.htm

%Windir%\\Temp\\fa4537ef.tmp

2.修改注册表:

/添加键值:"load32"="%System%\\swchost.exe"

到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

/Windows NT/2000/XP

修改注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

下的键值:"Shell"="Explorer.exe" 改为:"Shell"="explorer.exe %System%\\svohost.exe"

/Windows 95/98/Me

修改%Windir%\\System.ini文件

将值"Shell"="Explorer.exe" 改为:"Shell"="explorer.exe %System%\\svohost.exe"

3.生成一个.dll文件用来获取键击记录,常用的文件名为:%Windir%Pmtsvr.dll

4.观察窗口标题栏,一旦发现有字符串"http:/ /www.whatpornsite.com/css/logger.php",便开始记录在此窗口的所有键击并保存到%Windir%\\Prmtk.log文件中,在此文件中还会包含一些感染的计算机的系统信息。此外还开启一个线程监控剪切板,并将监测到的数据保存到%Windir%\\Prntc.log。

5.周期性的检查.log文件的长度,一旦发现到达一定的长度便利用内置的SMTP引擎发送给黑客。

6.监听TCP端口1001和10000,在此接收远程指令。

7.将盗取的信息写入%Windir%\\TEMP\\feff35a0.htm 和 %Windir%\\TEMP\\fa4537ef.tmp 。

8.修改hosts(%System%\\Drivers\\etc\\hosts)文件,导致用户不能访问一些站点。

注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt;

%System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/1 13:29:27