病毒資料
病毒名稱(中文):藍屏木馬下載器36864
威脅級別:★★☆☆☆
病毒類型:木馬下載器
病毒長度:36864
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
發現日期:2008-4-14
病毒行為:
這是一個木馬下載器程式。該程式會關閉一些常見的防毒軟體和安全輔助軟體,並修改IE首頁內容,啟動IE從木馬種植者指定網址下載別的木馬。隨著被下載到電腦中的木馬越來越多,系統將無法承受龐大的資源占用,幾分鐘後,它就可能崩潰。
1.程式運行後,生成檔案
%system32%\winlugan.exe
2.程式會修改檔案
%Documents and Settings%\LocalService\Cookies\Index.dat
%system32%\WBEM\repository\FS\INDEX.BTR
%system32%\wbem\Repository\FS\MAPPING.VER
%system32%\wbem\Repository\FS\MAPPING1.MAP
%system32%\wbem\Repository\FS\OBJECTS.DATA
%system32%\wbem\Repository\FS\OBJECTS.MAP
2.在註冊表中添加了註冊項,如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent
啟動項名:@ 對應值:"1Google Online Search Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1Google Online Search Service
啟動項名:DisplayName 對應值:"1Google Online Search Service"
3.木馬會嘗試去關閉McAfee,東方微點,奇虎360,AVP,金山毒霸等防毒軟體。
4.木馬會自動從下列網址下載大量木馬和病毒:
http://5y*rscon**a*t.com/check/tpktskend.php?gjgngb=rtfds&tsk=..
http://5y*rscon**a*t.com/check/tpknlkpebckd.php
http://5y*rscon**a*t.com/check/tpktskr2.php
Win32.PSWTroj.OnlineGames.uy
病毒名稱(中文):大口袋盜號者86016病毒別名:威脅級別:★★☆☆☆病毒類型:偷密碼的木馬病毒長度:86016影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
這是一個盜號木馬程式。該程式可準確記錄用戶從鍵盤敲入的所有賬號、密碼等敏感信息,然後傳送到木馬種植者指定的遠程地址。
1.程式運行後,生成檔案
%system32%\krnj32drv.dll
2.木馬會刪除自己檔案本身,還會刪除檔案%system32%\drivers\etc\hosts,以免木馬所需訪問的網站被禁止,還可以順利
連線系統.
3.在註冊表中添加了註冊項,如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
啟動項名:EXE 對應路徑:%system32%\krnj32drv.dll
4.木馬會建立全局鉤子,注入所有進程中,尋找一些敏感信息輸入的對話框,監視鍵盤信息的輸入,然後將信息傳送到相應的網站。
參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5386
