老鹰捉小鸡的看图写话:特洛伊病毒能使内存不能"read"吗???
来源:百度文库 编辑:中科新闻网 时间:2024/10/03 16:25:39
病毒特性:
Win32.Chooket.A是一种键盘记录的特洛伊病毒,它能够记录敏感信息并发送给远程机器。
感染方式:
执行时,Win32.Chooket.A复制到%System%\svchost\svchost.exe,并设置以下注册表键值,以确保在每次windows启动时运行这个文件:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST = "%System%\SVCHOST\svchost.exe"
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
特洛伊还会生成"%System%\svchost\dll32\lstnunc.txt"文件,这个文件是个空的文本文件。
病毒第一次运行时,显示以下信息:
Actualización exitosa
La actualización se ha aplicado con éxito, pero deberá reiniciar el sistema para que tenga efecto.
信息使用西班牙语,大概的意思是:
更新成功
更新已经成功地应用,但是需要系统重启后才能生效。
危害:
盗窃敏感信息
特洛伊监控Windows所有前台,并在它们的标题中查找以下字符:
BNL e-banking
IBanking
home banking
homebanking
Home Banking
bancopatagonia
Login Bankboston
PC Banking
Citibank
Online
Suqu
a On Line
Banca Empresa
Banco Macro Bansud
abnnetbanking
Banco Credicoop
ITAU
Internet Banking
bancotdf
Santa Fe Empresas
BANCO REGIONAL DE CUYO
bbv.com.ar
On Line Bisel
Operaciones en lfnea
如果在窗口标题中发现以上字符,特洛伊记录所有输入窗口的按键。所有的记录数据保存到"%System%\svchost\dll32\kwinfj.jpg"。
记录的数据上传到"fortunecity.com"域的一个FTP服务器。
下载并运行任意文件
特洛伊连接"fortunecity.com"域的一个FTP服务器,并下载自身的更新和另一个文件。更新下载到"%System%\winlst\update.exe",而另一个文件下载到"%System%\pkzip.exe"。这个文件以PKZIP格式压缩。
其他信息
特洛伊生成以下键值,用来保存自己使用的信息:
HKLM\Software\Microsoft\LST
特洛伊删除%Cookies%目录中的一些文件,配比以下标准:
*bcp*.*
注:%Cookies%是一个可变路径,指向存放Internet cookies目录所在位置。病毒通过查询操作系统来决定当前Cookies文件夹的位置。一般都在以下位置:C:\Documents and Settings\\Cookies。