词条 | Worm/Nibu.g |
释义 | I-Worm/Nibu.g 病毒长度:21,088 字节 病毒类型:网络蠕虫 危害等级:* 影响平台:Win9X/2000/XP/NT/Me/2003 I-Worm/Nibu.g经FSG压缩过,试图通过记录键击信息盗取银行帐号及密码,并允许黑客远程访问感染的计算机。 传播过程及特征: 1.复制自身为: %System%\\Swchost.exe %System%\\Svohost.exe %Startup%\\Svchost.exe 生成文件: %Windir%\\Rundlln.sys %Windir%\\Prntsvr.dll %Windir%\\Temp\\feff35a0.htm %Windir%\\Temp\\fe43e701.htm %Windir%\\Temp\\fa4537ef.tmp 2.修改注册表: /添加键值:"load32"="%System%\\swchost.exe" 到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /Windows NT/2000/XP 修改注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 下的键值:"Shell"="Explorer.exe" 改为:"Shell"="explorer.exe %System%\\svohost.exe" /Windows 95/98/Me 修改%Windir%\\System.ini文件 将值"Shell"="Explorer.exe" 改为:"Shell"="explorer.exe %System%\\svohost.exe" 3.生成一个.dll文件用来获取键击记录,常用的文件名为:%Windir%Pmtsvr.dll 4.观察窗口标题栏,一旦发现有字符串"http:/ /www.whatpornsite.com/css/logger.php",便开始记录在此窗口的所有键击并保存到%Windir%\\Prmtk.log文件中,在此文件中还会包含一些感染的计算机的系统信息。此外还开启一个线程监控剪切板,并将监测到的数据保存到%Windir%\\Prntc.log。 5.周期性的检查.log文件的长度,一旦发现到达一定的长度便利用内置的SMTP引擎发送给黑客。 6.监听TCP端口1001和10000,在此接收远程指令。 7.将盗取的信息写入%Windir%\\TEMP\\feff35a0.htm 和 %Windir%\\TEMP\\fa4537ef.tmp 。 8.修改hosts(%System%\\Drivers\\etc\\hosts)文件,导致用户不能访问一些站点。 注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt; %System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。