TrojanSpy.Win32.Winldra
2008-02-23 08:42:27来源:互联网 阅读 ()
病毒名称:
TrojanSpy.Win32.Winldra
类别: 木马病毒
病毒资料:
破坏方法:
这是一个间谍木马。
运行后将自己拷贝到系统目录下文件名为winldra.exe(98/XP系统目录为系统盘\windows\system32,2k/NT为系统盘\winnt\system32)。
添加注册表项:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
load32 : 文件名
这样,每次开机病毒都能自启动。
修改TCP/IP配置文件,将多款世界流行的反病毒软件网址改为指向本地,如:
www.trendmicro.com,
trendmicro.com,
rads.McAfee.com,
customer.symantec.com,
liveupdate.symantec.com,
us.mcafee.com,
updates.symantec.com,
update.symantec.com,
www.nai.com,nai.com,
secure.nai.com,
dispatch.mcafee.com,
download.mcafee.com,
www.my-etrust.com,
my-etrust.com,
mast.mcafee.com,
ca.com,
www.ca.com,
networkassociates.com......
这样,中了毒的用户上这些网站或进行相应病毒库升级都会失败。
病毒在windows目录下生成3个辅助的动态库文件:
winsms.dll,dvpd.dll,prntsvra.dll。然后病毒启动IE,注入这三个动态库,开始监视用户的操作,并与外部主机进行数据交换。
winsms.dll负责在任务管理器启动时隐藏病毒进程(winldra.exe)。如果用其他工具查看进程仍然可以看到。
dvpd.dll内含一个全局钩子,不停地检索当前活动窗口的标题,当发现包含如下字符串时记录到Log文件中:
e-gold.com,
intgold.com,
emocorp.com,
ameritrade.com,
etrade.co,
alliance-,
eicesterbusinessbanking.co,
lloydstsb.co,365online.co,natwest.co,banKOFscotland.co,
barclays.co,netmastergold.co,rbs.co,firstdirect.co,smile.co,hsbc.co,virginone.co,
Please select character,Please select character,http://***localhost/cahoot/1.PHP.....
prntsvra.dll负责监听本地等待远程黑客的连接。并且会主动连接外部主机,下载脚本到本地执行。将本地文件放到指定的FTP服务器上。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-12-29
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
