病毒标签:
病毒名称: backdoor.powerspider.a
中文名称: 密码解霸
病毒类型: 后门
危害等级: 高 文件长度: 139,264 字节
感染系统: windows 9x以上的所有版本
编写语言: visual c++ 6.0
病毒描述:
backdoor.powerspider.a (密码解霸服务端) 可以捕获 win9x/win2k/winxp 下的几乎所有普通窗口的登录密码(如: 如 : oicq , icq , outlook ,上网账号 , 软件注册码、各种游戏软件 , 各种财务软件 , 各种管理软件 , 拨号上网 , 共享目录等 ), 另外还可捕获具有加密功能的游戏密码(如:传奇、奇迹、千年、红月、边锋)等敏感信息。将捕获的密码保存并发送到配置在服务端内的指定信箱中,客户端还具有在线升级功能是一种危险性较高的木马。 服务段运行后会连接网络,到 http://eu.2288.org/ 下载 eu.exe 到本地运行。该地址( http://eu.2288.org/ )现以不存在。
行为分析:
1 、 运行该木马后,在 %\windows\system32\ 下生成 iexplore .exe 和 mspbhook.dll 两个文件,系统启动 300 毫秒后加入 c:\windows\system32\iexplore .exe 到启动项。
2 、 修改注册表 hkey_local_machine\software\microsoft\windows\currentversion\runservices\mssysint
字串 : "iexplore .exe" 将自身加入服务。
3 、 增加注册表键 hkey_classes_root\zdns 和 hkey_classes_root\zpwd_box 。
4 、 修改注册表 hkey_local_machine\software\classes\zpwd_box\tmupgrade_p , 用来升级。
•盗取网络游戏客户端密码, win9x/win2k/winxp 下的几乎所有普通窗口的登录
码,及各种在网页的登录密码登陆时的账户及密码。
6 、 加载 mpr.dll ,调用函数 " wnetenum cached passwords " ,获取本地使用的密码,包括 : moden,url , 共享密码及其他类型的密码。
7 、 扫描系统进程,包括 system , smss , csrss , winlogon , services , lsass , svchost , spoolsv , explorer , rundll32 , assistse , c tfmon , wscntfy , alg , timplatform , wscntfy , alg,idle 及密码解霸生成的 iexploer .exe 同 sniff , netxray , dasm , iris , softice , trw 进行比较,若存在上述进程便将其结束。
|
