概述
病毒別名:
處理時間:
威脅級別:★★
中文名稱:蜜蜂大盜
病毒類型:木馬
影響系統:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行為:
編寫工具:bcb編寫
傳染條件:
用戶誤運行
發作條件:
運行後在用戶系統設定後門,同時泄漏用戶本機的一些信息,如主機名,ip等
系統修改
1,拷貝自身到:
%System%<原始檔案名稱>.exe.tmp
%System%<原始檔案名稱>.exe
%Windir%IsUninst.exe
%Windir%IsUn0404.exe
%Windir%IsUn0804.exe
2,把%System%下所有擴展名為.scr的檔案用自身覆蓋.
3,添加註冊表鍵值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"internet" = "%System%.exe"
4,修改註冊表鍵值:
HKEY_CLASSES_ROOT xtfileshellopencommand
"(Default)" = "%System%.exe" "%1"
HKEY_CURRENT_USERControl PanelDesktop
"ScreenSaveTimeout"="60"
5,添加鍵值:
HKEY_CURRENT_USERControl PanelDesktop
"SCRNSAVE.EXE"="%System%sstext3d.scr"
6,覆蓋C:AUTOEXEC.BAT的內容為:
net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >C:BOOTEX.LOG
7,在UDP 2222連線埠開設後門,等待攻擊者的連結.
8,同時記錄鍵盤按鍵,進行螢幕截圖,進行收集用戶信息的行動.
發作現象
用戶會發現C:AUTOEXEC.BAT的內容為:
net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >C:BOOTEX.LOG
特別說明:
