病毒簡介
病毒別名:處理時間:2005-08-14
威脅級別:★
中文名稱:
病毒類型: 黑客程式
影響 系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是一個後門 病毒。病毒運行後,會監控clipboard、 鍵盤,搜尋FTP工具 軟體的配置檔案,獲取用戶IP、密碼等信息。並利用自帶的smtp引擎將記錄的信息傳送到指定的
信箱。
1. 病毒通過建立名為“Stamm-804”的 全局原子體,以保證只有一個病毒體在運行。
2. 釋放大小為4096位元組的動態連結檔案winsms.dll到%WinDir%目錄下,並調用其中
的 函式隱藏進程。
3. 將自身拷貝到%System%目錄下,命名為winldra.exe,並修改註冊表建立啟動項,
從而達到開機自啟的目的:
【HKLM\Software\Microsoft\Windows\CurrentVersion\Run】
"load32" = "%System%\winldra.exe"
4. 病毒體還會添加如下註冊表項,記錄病毒的各種操作:
【HKCU\Software\SARS】
5. 在%WinDir%目錄下生成netdx.dat檔案,存儲加密的字元集;
6. 修改hosts檔案,禁止著名安全站點,包括:
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
等。
7. 建立執行緒,監控clipboard的內容,將clipboard的內容記錄在%WinDir%\prntc.log
檔案中。
8. 建立執行緒,監控鍵盤,如果當前視窗標題包含有以下敏感文字,則將鍵盤鍵入的內容
記錄在%WinDir%\\prntk.log檔案中:
"Bank"
"PayPal"
"ebay"
"Casino"
等。
9. 搜尋FTP工具軟體(如totalcmd)的配置檔案,獲取用戶IP、密碼等信息,並存儲在
%Temp%\fe*.htm檔案中。
10. 利用自帶的smtp引擎將記錄的信息傳送到指定的信箱。
11. 監聽TCP 9125連線埠,等待遠程控制指令。
