病毒名稱(中文):
病毒別名:
威脅層級:★☆☆☆☆
病毒類型:駭客程式
病毒長度:27040
影響系統:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003
病毒行為:
這是一個後門病毒。病毒運行後,會監控clipboard、鍵盤,搜尋FTP工具軟體的設定檔,擷取使用者IP、密碼等資訊。並利用內建的smtp引擎將記錄的資訊發送到指定的信箱。
1.病毒通過建立名為“Stamm-804”的全域原子體,以保證只有一個病毒體在運行。
2.釋放大小為4096位元組的動態連結檔案winsms.dll到%WinDir%目錄下,並調用其中的函數隱藏進程。
3.將自身拷貝到%System%目錄下,命名為winldra.exe,並修改註冊表建立啟動項,從而達到開機自啟的目的:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load32"="%System%\winldra.exe"
4.病毒體還會添加如下登錄機碼,記錄病毒的各種操作:
[HKCU\Software\SARS]
5.在%WinDir%目錄下產生netdx.dat檔案,儲存加密的字元集;
6.修改hosts檔案,屏蔽著名安全網站,包括:
127.0.0.1www.trendmicro.com
127.0.0.1trendmicro.com
127.0.0.1rads.mcafee.com
127.0.0.1customer.symantec.com
等。
7.建立線程,監控clipboard的內容,將clipboard的內容記錄在%WinDir%\prntc.log檔案中。
8.建立線程,監控鍵盤,如果當前視窗標題包含有以下敏感文字,則將鍵盤鍵入的內容記錄在%WinDir%\\prntk.log檔案中:
"Bank"
"PayPal"
"ebay"
"Casino"
等。
9.搜尋FTP工具軟體(如totalcmd)的設定檔,擷取使用者IP、密碼等資訊,並儲存在%Temp%\fe*.htm檔案中。
10.利用內建的smtp引擎將記錄的資訊發送到指定的信箱。
11.監聽TCP9125連接埠,等待遠端控制指令。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
