概述
病毒別名:處理時間:
威脅級別:★
中文名稱:
病毒類型:木馬影響系統:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行為:
編寫工具:
delphi編寫,upx壓縮
傳染條件:
該木馬利用了http://207.46.249.252/technet/security/bulletin/ms04-0mspx Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability漏洞
發作條件:
這是一個偷取銀行帳號密碼的木馬,當用戶訪問特定頁面時,該木馬就會記錄用戶的鍵盤記錄並將記錄的結果通過Email傳送給攻擊者。
簡介
系統修改:1,拷貝自身到
%System%Wmiprvse.exe
%System%Ntsvc.exe
%Windir%Userlogon.exe
2,建立%System%Rsasec.dll檔案,為一個鍵盤記錄所用的Dll程式
3,建立%System%
sacb.dll,實質為一個text檔案,用來記錄監聽的結果。
4,向註冊表添加:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"wmiprvse.exe"="%system%wmiprvse.exe"
5,當作業系統為:NT/2000/XP
添加:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows
"Run" = "%Windir%userlogon.exe"
當作業系統為:95/98/Me
在Win.ini添加:
run=%Windir%userlogon.exe,同時修改註冊表:
shell=explorer.exe %system%
tsvc.exe
6,當用戶訪問
National Australia Bank
ANZ Internet Banking - Logon
National Internet Banking
Citibank Australia
Welcome to Citi
Welcome to Citibank
Citi - Sign On
Bank of China
online@hsbc
HSBC in Hong Kong
Banesto
Sabadell
或者這些
https:/ /olb.westpac.com.au/ib/asp/
https:/ /olb.westpac.com.au/ib/
連結時將記錄用戶的擊鍵記錄。
7,利用自己的smtp發信到[email protected]信箱。
發作現象:
該木馬運行後,用戶會在%Windir%發現以下幾個檔案:
Wmiprvse.exe
Ntsvc.exe
Userlogon.exe
rsacb.dll
用記事本打開rsacb.dll檔案後會發現是一些自己以前敲擊鍵盤的記錄。
特別說明:
