该木马可以盗取多家证券交易系统的交易帐号和密码。
具体技术特征如下:
(1)病毒运行后,将创建自身复本于:
%WinDir%\SYSTEM32.EXE, 201216字节
(2)在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System"=%WinDir%\SYSTEM32.EXE
(3)木马运行时寻找一些包含著名券商名称的窗口标题,如果发现就开始启动键盘钩子对用户登陆信息进行记录,包括用户名和密码。
(4)在记录键盘信息的同时,通过屏幕快照将用户登陆时窗口画面保存为图片,存放于:
c:\Screen1.bmp
c:\Screen2.bmp
(5)当记录指定次数后,将3,4中记录的信息和图片通过电子邮件发送到webmaster@****.com。
(6)发送成功后,病毒将自身删除,但4中生成的.bmp图片并未被删除。
4.Trojan-PSW.Win32.QQRob(啊啦大盗)
啊啦大盗是一个窃取QQ密码的经典木马程序,当感染该病毒后,会出现无故弹出一些网页广告,使得某些反病毒软件不能正常运行,QQ密码丢失等现象。
具体行为分析:
1.该木马隐藏于一个畸形的CHM文件中,打开这个CHM文件,木马就会被自动释放出来并且得到执行;
2.木马被释放到%SYSTEM%目录,名为“NTdhcp.exe”,具有“隐藏”、“系统”和“只读”属性;
3.修改注册表,在注册表启动项
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下,
添加如下值:"NTdhcp"="%SYSTEM%\NTdhcp.exe"
4.删除大量反病毒软件的在注册表启动项中的值:
KAVPersonal50RavMonRavTimerKvMonXPiDuba Personal FireWall
KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAV CfgWiz
MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe
VirusScan OnlineVSOCheckTaskNetwork Associates Error Reporting Service
KavStartKWatch9x
5.设置注册表中下列各项的“Start”值为4,从而禁止这些反病毒服务程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework
6.监视禁止以下反病毒进程:
FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE
RAVTIMER.EXE KVXP.KXP KVCENTER.KXP Iparmor.exe MAILMON.EXE
KAVPFW.EXE KmailMon.EXE KAVStart.exe KATMain.EXE TrojanDetector.EXE
KVFW.EXE KVMonXP.KXP KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE
KAV32.EXE CCAPP.EXE MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE
EGHOST.EXE KRegEx.exe TrojDie.kxp KVOL.exe kvolself.exe KWatch9x.exe
| 共6页: 上一页 [1] [2] [3] [4] 5 [6] 下一页 | ||||||||
|
|
· 安装程序出现NSIS ERRO.. · 防患于未然 九项不用花.. · 提高警惕 勿让僵尸蚕食.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 微软网络访问保护解决.. · 如何安全运行从网上下.. · 安全专家浅谈面向业务.. · C/C++木马编程进阶与实.. · 学黑客——学习方法总结 · 机器被黑客自动关机怎.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · iSCSI应用与发展 · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 |
· 病毒查杀专题 · 国际文档格式标准开战 · Linux防火墙 · 路由器设置与口令恢复 · 打造安全服务器 · SOA 面向服务架构 · PHP开发应用手册 · ADSL应用面面俱到 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 身份认证技术 |
· 病毒查杀专题 · 清除流氓软件——51CTO.. · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · 反垃圾邮件技术应用 |
|||
