Win32.Hack.Dumador.cx

來源:互聯網
上載者:User

病毒名稱(中文):

病毒別名:

威脅層級:★☆☆☆☆

病毒類型:駭客程式

病毒長度:27040

影響系統:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003

病毒行為:

這是一個後門病毒。病毒運行後,會監控clipboard、鍵盤,搜尋FTP工具軟體的設定檔,擷取使用者IP、密碼等資訊。並利用內建的smtp引擎將記錄的資訊發送到指定的信箱。

1.病毒通過建立名為“Stamm-804”的全域原子體,以保證只有一個病毒體在運行。

2.釋放大小為4096位元組的動態連結檔案winsms.dll到%WinDir%目錄下,並調用其中的函數隱藏進程。

3.將自身拷貝到%System%目錄下,命名為winldra.exe,並修改註冊表建立啟動項,從而達到開機自啟的目的:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"load32"="%System%\winldra.exe"

4.病毒體還會添加如下登錄機碼,記錄病毒的各種操作:

[HKCU\Software\SARS]

5.在%WinDir%目錄下產生netdx.dat檔案,儲存加密的字元集;

6.修改hosts檔案,屏蔽著名安全網站,包括:

127.0.0.1www.trendmicro.com

127.0.0.1trendmicro.com

127.0.0.1rads.mcafee.com

127.0.0.1customer.symantec.com

等。

7.建立線程,監控clipboard的內容,將clipboard的內容記錄在%WinDir%\prntc.log檔案中。

8.建立線程,監控鍵盤,如果當前視窗標題包含有以下敏感文字,則將鍵盤鍵入的內容記錄在%WinDir%\\prntk.log檔案中:

"Bank"

"PayPal"

"ebay"

"Casino"

等。

9.搜尋FTP工具軟體(如totalcmd)的設定檔,擷取使用者IP、密碼等資訊,並儲存在%Temp%\fe*.htm檔案中。

10.利用內建的smtp引擎將記錄的資訊發送到指定的信箱。

11.監聽TCP9125連接埠,等待遠端控制指令。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。