TrojanSpy.Cmos

2008-02-23 09:00:45来源：互联网阅读 ()

病毒名称: TrojanSpy.Cmos 类别：木马病毒病毒资料：破坏方法：

这是一个盗取用户信息的木马病毒。

病毒的执行程序使用MFC编写，其主要功能模块采用Delphi编写。

感染此病毒后，将释放文件到系统目录：

病毒也将修改注册表以使自己能随系统自启动。

病毒包括两部分：
文件：csms.exe ---是病毒的执行模块
文件：msmtcs.dll ---此文件由 csms.exe 释放，是病毒的
主要功能模块。

该模块，将设立全局的鼠标键盘钩子，用以记录用户信息并生成记录文件和截获时的屏幕静态图像，随后病毒将这些信息上传到病毒作者站点。

病毒在截获这些信息时触发条件是IE打开的站点包含如下字眼：
bank、e-gold、mail log-on、Access、Internet Banking、Account、secret question、n-line banking、
ebay、log on、Internet PassWord；
https://***mbanxonlinebanking.harrisbank.com
/signon_frame.ASP
https://***www.bancorponline.com/PBI_PBI1961
/pbi1961.asp?Rt=121140823&LogonBy=Connect3&PRMAccess=Account
https://***www.ebankhost.net/legends/
https://***www1.bmo.com/cgi-bin/netbnx/NBmain
http://***www.premierwestbank.com/
https://www.middleburgbankonline2.com/onlineserv
/HB/Signon.cgi
https://onlinebanking.nationalcity.com/olb
/SignOn.aspx?T=C
https://www.mynbcbank.com/portal/jsp/nbc/login.jsp
等等<有删节>

也就是说病毒要截获的信息涵盖用户登录、密码、安全、网上银行、网上交易等几乎全部会对用户造成损害的信息。

修改注册表:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"cmssSystemProcess" = ""
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-9-17

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有