Backdoor/Mutny
病毒長度:38,880 位元組
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me
Backdoor/Mutny盜取密碼,記錄鍵擊記錄並隨機打開TCP連線埠。
傳播過程及特徵:
1.生成檔案:
%System%\BOOT32.SYS
%System%\SDMAPI.SYS
%System%\DEBUGG.DLL
%System%\C3.DLL
%System%\C3.SYS
%System%\C4.SYS
%System%\W32_SS.EXE
%System%\KLOGINI.DLL
%System%\P2.INI
2.刪除檔案:
%System%\drivers\klpf.sys
%System%\drivers\klif.sys
3.修改註冊表:
/添加鍵值:"impersonate"="【隨機數字】"
到註冊表:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
/生成子鍵:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServicesTestService
/添加鍵值:
"DllName"="debugg.dll"
"Startup"="MemManager"
"Impersonate"="1"
"Asynchronous"="1"
"MaxWait"="1"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg
/生成子鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\boot32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sdmapi
4.在感染的計算機上蒐集密碼並傳送給木馬作者;此外記錄鍵盤敲擊記錄保存在檔案%System%\KLOGINI.DLL下,周期性的傳送給攻擊者;還可能打開兩個隨機的TCP連線埠運行HTTP和SOCKS代理。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
