簡介
TrojanSpy.Qukart.a
病毒長度:46,592 位元組 6,657 位元組
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me
TrojanSpy.Qukart.a是盜取銀行密碼的木馬,通過一個假冒的網頁來騙取用戶輸入,從而盜取密碼,帳戶等用戶的信息。
特徵
傳播過程及特徵:
1.生成檔案:
%SystemDir%\aaladg32.dll, 6657位元組
%SystemDir%\efleabgn.exe, 46592位元組
2.修改註冊表:
/添加鍵值:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad】
"Web Event Logger" =
【HKEY_CLASSES_ROOT\CLSID\\InProcServer32】
"(Default)" = "aaladg32.dll"
"ThreadingModel" = "Apartment"
【HKEY_CURRENT_USER\Software\Microsoft】
"QueenKarton" = 0xb
【HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess】
"BrowseNewProcess" = "yes"
/修改鍵值:
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0】
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1】
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2】
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3】
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4】
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\5】
"1601" = "0"
【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings】
"GlobalUserOffline" = "0"
3.生成多個%Temp%\<8個任意字元>.htm,並在IE中打開,導致訪問特定的URL。
4.從感染的計算機上收集密碼並從一些打開的IE界面中途截取信息。
5.在系統目錄下生成檔案保存密碼信息和下載的數據,檔案名稱為:
dnkkq.dll
kkq32.vxd
kkq32.dll
Rtdx1.dat
並將密碼信息傳送給攻擊者,通過HTTP傳送query string的方式,此外下載下來的數據將被上傳到特定的站點。
