病毒簡介
TrojanProxy.Mitglieder.b
病毒長度:33,290 位元組 46,080 位元組
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me/2003
TrojanProxy.Mitglieder.b經UPX壓縮的代理木馬程式,下載木馬程式。
傳播過程及特徵
1.複製自身:
%system%\system.exe
2.修改註冊表:
【HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run】
"ssgrate.exe" = %System%\system.exe
3.結束下列進程:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
4.連線下列站點並通告攻擊者:
http://www.block-investment.de/【blocked】/nro4.php
http://www.gasterixx.de/【blocked】/nro4.php
http://www.deadlygames.de/【blocked】/nro4.php
http://www.o-problemo.de/【blocked】/nro4.php
http://www.tv87.de/【blocked】/nro4.php
http://www.ranknet.de/【blocked】/nro4.php
http://www.remix-world.de/【blocked】/nro4.php
http://www.joerrens.de/【blocked】/nro4.php
http://www.bbszene.de/【blocked】/nro4.php
http://www.nikofor.com/【blocked】.php
http://www.dyna-maik.de/【blocked】/nro4.php
http://www.werk3.de/【blocked】/nro4.php
http://www.gebr-wachs.de/【blocked】/nro4.php
http://www.rgs-rostock.de/【blocked】/nro4.php
http://www.lords-of-havoc.de/【blocked】/nro4.php
5.在感染的計算機上開放後門連線埠39999,在此接收攻擊者發出的指令。
6.從特定的站點下載盜取密碼的木馬檔案,並存儲為%Windir%SAGEBOX.EXE:
http://www.rgs-rostock.de/【blocked】/x.exe
http://www.gebr-wachs.de/【blocked】/x.exe
http://www.lords-of-havoc.de/【blocked】/x.exe
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。