概要
病毒名稱:Trojan/PSW.MiFeng.70
病毒大小:859,136
傳播方式:網路傳播
壓縮方式:AsPack
軟體類型:木馬
危害程度:**
簡介
病毒運後後,修改默認的螢幕保護程式,每隔一段時間自動運行。通過修改下列註冊表鍵值,修改檔案關聯使用戶打開任何txt文本檔案,都會再次運行病毒程式。
該病毒竊取幾乎所有的密碼及相關信息,包括:QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、傳奇、傭兵傳說等(包含帳號、區等相關信息);網頁上的信息,如:信箱、論壇、密保等(含用戶名、密碼等相關信息),甚至是打在圖片上的密碼。病毒記錄鍵盤及滑鼠動作,無論用戶以何種方式輸入密碼(如:從某處貼上、輸入一部分然後貼上一部分、在號碼前加0、先故意輸入錯誤密碼然後刪除錯誤部分等),病毒都會截到,並只盜取最後一次輸入且正確的密碼。病毒還自帶過濾程式,智慧型識別所盜密碼是否完整(如半截密碼,重複密碼),使得盜取密碼準確率更高。
該病毒有遠程監控的功能,類似於國產冰河、灰鴿子等黑客控制軟體。該功能可以使黑客監控感染病毒的計算機,在不經任何授權的情況下,非法觀看遠程桌面、遠控滑鼠、鍵盤,以及所有資源/檔案,並可以控制上傳下載。該病毒支持公網控制公網,區域網路控制區域網路,區域網路控制公網,公網控制區域網路,對家庭用戶和網咖用戶威脅巨大。
病毒還具有遠程攝像功能。帶攝像頭的計算機被感染後,不知不覺中用戶被黑客偷窺,黑客可以遠程攝下中毒者的所有動作。
該病毒利用QQ漏洞,會迫使染毒計算機QQ關閉,迫使重新登入,間隙之中盜取QQ密碼。病毒還會監控QQ聊天視窗,傳送惡意信息、網站等。自動檢測感染計算機是否安裝防火牆(病毒防火牆、郵件防火牆、防黑牆)一旦發現強行結束,使其無法檢測到黑客的連結操控。
病毒會生成xxx.bmp和xxx.htm兩個檔案,如果將這兩個檔案上傳到個人主頁空間(動、靜態空間均可),當訪問xxx.htm,會利用IE漏洞自動下載木馬病毒(IE不會有任何提示)並運行。
在病毒竊取的信息中,包括IP位址及其對應的真實物理地址。黑客可以利用泄露的IP位址進行遠程攻擊。
該病毒還可以定製木馬的圖示,在很大程度上欺騙誘導用戶運行。
感染過程
1.利用“密蜂大盜”生成木馬程式運行。2.病毒運行後將創建下列檔案(Trojan.exe為生成木馬程式),並且修改默認的螢幕保護程式,使病毒每隔一段時間自動運行。
%SystemDir%\Trojan.exe, 829316位元組,木馬本身
%SystemDir%\三維管道.scr, 829316位元組
%SystemDir%\三維變形物.scr, 829316位元組
%SystemDir%\飛行 windows.scr, 829316位元組
%SystemDir%\三維飛行物.scr, 829316位元組
%SystemDir%\三維迷宮.scr, 829316位元組
%SystemDir%\三維文字.scr, 829316位元組
%WinDir%\isuninst.exe, 829316位元組
%WinDir%\isun0804.exe, 829316位元組
%WinDir%\isun0404.exe, 829316位元組
並在SYSTEM.INI中添加:
scrnsave.exe=c:\windows\system\三維文字.scr
3.病毒通過修改下列註冊表鍵值,修改檔案關聯:
【HKEY_CLASSES_ROOT\txtfile\shell\open\command】
"" = "c:\windows\system\Trojan.exe" "%1"
這樣,用戶打開任何txt檔案,都會再次運行病毒程式。
危害
病毒具體危害如下:
1.竊取密碼
該病毒竊取幾乎所有的密碼及相關信息,包括:QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、傳奇、傭兵傳說等(包含帳號、區等相關信息);網頁上的信息,如:信箱、論壇、密保等(含用戶名、密碼等相關信息),甚至是打在圖片上的密碼。病毒記錄鍵盤及滑鼠動作,無論用戶以何種方式輸入密碼(如:從某處貼上、輸入一部分然後貼上一部分、在號碼前加0、先故意輸入錯誤密碼然後刪除錯誤部分等),病毒都會截到,並只盜取最後一次輸入且正確的密碼。病毒還自帶過濾程式,智慧型識別所盜密碼是否完整(如半截密碼,重複密碼),使得盜取密碼準確率更高。
2. 遠程監控
該病毒有遠程監控的功能,類似於國產冰河、灰鴿子等黑客控制軟體。該功能可以使黑客監控感染病毒的計算機,在不經任何授權的情況下,非法觀看遠程桌面、遠控滑鼠、鍵盤,以及所有資源/檔案,並可以控制上傳下載。該病毒支持公網控制公網,區域網路控制區域網路,區域網路控制公網,公網控制區域網路,對家庭用戶和網咖用戶威脅巨大。
3. 遠程攝像
該病毒具有遠程攝像功能。帶攝像頭的計算機被感染後,不知不覺中用戶被黑客偷窺。
4. 遠控QQ和QQ尾巴
該病毒利用QQ漏洞,會迫使染毒計算機QQ關閉,迫使重新登入,間隙之中盜取QQ密碼。病毒還會監控QQ聊天視窗,傳送惡意信息、網站等。
5.強行關閉防火牆
該病毒自動檢測感染計算機是否安裝防火牆(病毒防火牆、郵件防火牆、防黑牆)一旦發現強行結束,使直無法檢測到黑客的連結操控。
6.自動下載運行
該病毒生成xxx.bmp和xxx.htm兩個檔案,如果將這兩個檔案上傳到個人主頁空間(動、靜態空間均可),當訪問xxx.htm,會利用IE漏洞自動下載木馬病毒(IE不會有任何提示)並運行。
7.獲取IP位址
病毒在竊取的信息中,包括IP位址及其對應的真實物理地址。黑客可以利用泄露的IP位址進行攻擊。
8.圖示偽裝
該病毒可以定製木馬的圖示,在很大程度上欺騙誘導用戶運行。
解決方案:針對該病毒江民公司在第一時間升級了病毒庫,用戶只需將KV江民防毒系列軟體智慧型升級到2004年6月24日最新版本,開啟七套實時監控系統,即可將此病毒有效的殺死在系統之外,確保電腦不該病毒的侵擾。