概述
Trojan/Startpage.am
Trojan/Startpage.am是一個記錄鍵盤操作的木馬程式,包含在一個垃圾郵件的附屬檔案中且可以伴隨一個代理服務程式。
操作
木馬運行後,有如下操作:
1.在Windows的安裝目錄下生成如下檔案:
MSTO32.DLL
SVCHOST.EXE
SYSINI.INI(該檔案不包含有害代碼)
2.在系統目錄下生成SVCHOSTC.EXE和SVCHOSTS.EXE
3.在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加
"Online Service"="%Windir%\svchost.exe..."鍵值。
4.將註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中的 Start Page 鍵設定為下列網站之一(即修改IE瀏覽器的初始頁):
strawberries.teenfestival.com?alla.html
realgirltgp.virgin-paradize.com/warn.html
strawberries.teensfestival.com/search2.html
5.開放10002連線埠。
6.設法從下列網站下載木馬的升級檔案:
82.196.73.2
beta.softdevelops.com
www.gggggiiiiiiiiiiiiiiiiiiiiiiggggjjjjjjjjjjjj.com
www.gggggmmmmmmggggjjjjjjjjjjjj.com
www.ggggggggkkkkkkkgjjjjjjjjjjjj.com
如果成功的話,它會將Surte.exe檔案保存到系統目錄下並執行。
7.木馬可以記錄鍵盤操作,然後將盜取來的信息通過SMTP傳送給攻擊者,也可以將其傳送到固定的FTP網站。
