I-Worm/Nibu.g

病毒长度：21,088 字节

病毒类型：网络蠕虫

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Nibu.g经FSG压缩过，试图通过记录键击信息盗取银行帐号及密码，并允许黑客远程访问感染的计算机。

传播过程及特征：

1.复制自身为：

%System%\\Swchost.exe

%System%\\Svohost.exe

%Startup%\\Svchost.exe

生成文件：

%Windir%\\Rundlln.sys

%Windir%\\Prntsvr.dll

%Windir%\\Temp\\feff35a0.htm

%Windir%\\Temp\\fe43e701.htm

%Windir%\\Temp\\fa4537ef.tmp

2.修改注册表：

/添加键值："load32"="%System%\\swchost.exe"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

/Windows NT/2000/XP

修改注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

下的键值："Shell"="Explorer.exe" 改为："Shell"="explorer.exe %System%\\svohost.exe"

/Windows 95/98/Me

修改%Windir%\\System.ini文件

将值"Shell"="Explorer.exe" 改为："Shell"="explorer.exe %System%\\svohost.exe"

3.生成一个.dll文件用来获取键击记录，常用的文件名为：%Windir%Pmtsvr.dll

4.观察窗口标题栏，一旦发现有字符串"http:/ /www.whatpornsite.com/css/logger.php",便开始记录在此窗口的所有键击并保存到%Windir%\\Prmtk.log文件中，在此文件中还会包含一些感染的计算机的系统信息。此外还开启一个线程监控剪切板，并将监测到的数据保存到%Windir%\\Prntc.log。

5.周期性的检查.log文件的长度，一旦发现到达一定的长度便利用内置的SMTP引擎发送给黑客。

6.监听TCP端口1001和10000，在此接收远程指令。

7.将盗取的信息写入%Windir%\\TEMP\\feff35a0.htm 和 %Windir%\\TEMP\\fa4537ef.tmp 。

8.修改hosts(%System%\\Drivers\\etc\\hosts)文件,导致用户不能访问一些站点。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。