TrojanProxy.Webber.20
2008-02-23 08:46:01来源:互联网 阅读 ()
LCC编写的木马病毒,运行后将建立一个隐藏的代理服务器,可以盗取用户的信息如:缓冲密码、用户IP地址、用户的网络访问信息
<登录名、密码等,病毒使用剪贴板来传递数据>。
病毒一旦运行,将操作如下:
1、首先建立一个互斥量名为:Neher_12,保证只有一个病毒的实例运行
2、以随机文件名复制到系统目录,并释放一个动态链接库文件:
%SYSDIR%\filename1.exe
%SYSDIR%\filename2.dll
其中filename1和filename2都是随机的
3、增加如下键值来使自己随系统自启动:
HKCR\CLSID\{79FB9088-19CE-715D-D85A-216290C5B738}
InProcServer32="C:\WINDOWS\SYSTEM\Eefgikkb.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad Web Event Logger="{79FB9088-19CE-715D-D85A-216290C5B738}"
其中Eefgikkb.dll就是病毒释放的动态链接库文件,文件名是可变的。
4、病毒运行后将分为两部分,监听两个端口:1010和1234,一个用来建立一个隐藏的代理,另外一个则用来下载文件<病毒更新>
5、病毒可以通过邮件传播:
包含邮件信息如下:
From:
"Account Manager"
标题:
Re: Your credit application
正文:
Dear Sir!
Thank you for your online application for a Home Equity Loan.
In order to be approved for any loan application we pull your Credit Profile and Chexsystems information, which didn't satisfy
our minimum needs. Consequently, we regret to say that we cannot
approve you for Home Equity Loan at this time.
*Attached are copy of your Credit Profile and Your Application that
you submitted with us. Please take a close look at it, you will receive
hard copy by mail withing next few days.
附件:
www.citybankhomeloan.htm.pif
6、此木马中包含如下信息:
Neher(HEXEP) coded by HangUP Team
(commercial version).
Greetz to: Hunk,Ares,Z0mbie,FreeHunt,SBVC,TSRH,Vecna';)
A zdes mogla bi bit vasha reklama ;)
注:
%SYSDIR% 是可变的WINDOWS系统文件夹,默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-12-22
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash