Backdoor.Nibu.K

2008-02-23 09:04:48来源：互联网阅读 ()

病毒名称: Backdoor.Nibu.K 类别：后门病毒病毒资料：该病毒长度为25,040字节，感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个后门病毒，通过木马技术入侵，记录用所有的键盘操作，搜索重要的口令，银行和游戏帐号信息，周期性的黑客发送窃取到的信息；当收到、打开此后门病毒时，有以下危害：
A 创建以下文件
系统目录的\winldra.exe
Windows目录的\dvpd.dll
Windows目录的\netdx.dat
Windows目录的\netdx.dat
Windows目录的\TEMP\fa4537ef.tmp
Windows目录的\winsms.dll
B 创建注册项
HKEY_LOCAL_MACHINE\SOFTWARE\SARS
C 创建注册项"load32" = "％System％\winldra.exe"
到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒在每次开机后自动执行
D 从以下地址下载并执行黑客文件 http://bratva.ddo.jp/[已删除]/bog.cmd.txt
E 使用HTTP GET方法发送主机信息到 http://bratva.ddo.jp/[已删除]/logger.PHP
F 记录搜索以下网址打开时的信息
365online.co
abbey.co
aeacu.com
alliance-leicesterbusinessbanking.co
banKOFscotland.co
barclays.co
citibank.com
etrade.co
firstdirect.co
halifax.co
hsbc.co
lloydstsb.co
natwest.co
netmastergold.co
rbs.co
smile.co
virginone.co
zurichbank.co
G 窃取远程管理口令、FTP口令、硬盘中的重要数据等,保存在windows目录的prntk.log文件中，同时包括以下信息：

IP地址，操作系统信息，IE浏览器信息
H 运行一个线程监视裁剪版，保存有关数据到windows目录的prntc.log
I 周期性的检查窃取到的信息文件，如到达指定尺寸，就使用自带的邮件引擎把信息文件转换成邮件格式保存在windows目录的TEMP\fa4537ef.tmp文件，发送给黑客。
J 从注册表中收集窃取信息
K 禁止以下网站访问(主要是杀毒网站)和杀毒软件升级
trendmicro.com
rads.McAfee.com
customer.symantec.com
liveupdate.symantec.com
us.mcafee.com
updates.symantec.com
update.symantec.com
www.nai.com
nai.com
secure.nai.com
dispatch.mcafee.com
download.mcafee.com
www.my-etrust.com
my-etrust.com
mast.mcafee.com
ca.com
www.ca.com
networkassociates.com
www.networkassociates.com
avp.com
www.kASPersky.com
www.avp.com
kaspersky.com
www.f-secure.com
f-secure.com
viruslist.com
www.viruslist.com
liveupdate.symantecliveupdate.com
mcafee.com
www.mcafee.com
sophos.com
www.sophos.com
symantec.com
securityresponse.symantec.com
us.mcafee.com/root/
www.symantec.com

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。

发现日期： 2005-6-19

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有