病毒綜述
病毒名稱: Backdoor.PowerSpider.a
中文名稱: 密碼解霸
病毒類型: 後門
危害等級: 高 檔案長度: 139,264 位元組
感染系統: Windows 9x以上的所有版本
編寫語言: Visual C++ 6.0
病毒描述
Backdoor.PowerSpider.a (密碼解霸服務端) 可以捕獲 Win9x/Win2k/WinXp 下的幾乎所有普通視窗的登錄密碼(如: 如 : OICQ , ICQ , Outlook ,上網賬號 , 軟體註冊碼、各種遊戲軟體 , 各種財務軟體 , 各種管理軟體 , 撥接 , 已分享資料夾等 ), 另外還可捕獲具有加密功能的遊戲密碼(如:傳奇、奇蹟、千年、紅月、邊鋒)等敏感信息。將捕獲的密碼保存並傳送到配置在服務端內的指定信箱中,客戶端還具有線上升級功能是一種危險性較高的木馬。 服務段運行後會連線網路,到 http://eu.2288.org/ 下載 eu.exe 到本地運行。該地址( http://eu.2288.org/)現以不存在。
行為分析:
1 、 運行該木馬後,在 %\WINDOWS\system32\ 下生成 iexplore .exe 和 mspbhook.dll 兩個檔案,系統啟動 300 毫秒後加入 C:\WINDOWS\system32\IEXPLORE .EXE 到啟動項。
2 、 修改註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\mssysint
字串 : "IEXPLORE .EXE" 將自身加入服務。
3 、 增加註冊表鍵 HKEY_CLASSES_ROOT\ZDns 和 HKEY_CLASSES_ROOT\ZPwd_box 。
4 、 修改註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box\tmUpgrade_p , 用來升級。
•盜取網路遊戲客戶端密碼, Win9x/Win2k/WinXp 下的幾乎所有普通視窗的登錄
碼,及各種在網頁的登錄密碼登入時的賬戶及密碼。
6 、 載入 mpr.dll ,調用函式 " WNetEnum Cached Passwords " ,獲取本地使用的密碼,包括 : moden,URL , 共享密碼及其他類型的密碼。
7 、 掃描系統進程,包括 system , smss , CSRSS , winlogon , services , lsass , svchost , spoolsv , explorer , rundll32 , assistse , c tfmon , wscntfy , alg , TIMPlatform , wscntfy , alg,Idle 及密碼解霸生成的 IEXPLOER .EXE 同 sniff , NetXray , dasm , iris , softice , trw 進行比較,若存在上述進程便將其結束。
