2005年1月26江民反病毒中心率先截獲特洛伊木馬:密碼大盜(TrojanSpy.MimaThief.10),該木馬假裝是qq升等級的掛機工具,通過安裝windows鉤子和子類化 IE 伺服器視窗(Internet Explorer_Server)來盜取用戶在網頁上輸入的敏感信息。
基本介紹
- 中文名: 密碼大盜病毒
- 外文名:TrojanSpy.MimaThief.10
- 病毒類型:特洛伊木馬
- 病毒大小:25088,10752位元組
- 傳播方式:網路
病毒特徵
具體技術特徵如下:
1. 在感染計算機上釋放下列檔案:
%SystemDir%\mmdat.dat 記錄病毒原始目錄
%SystemDir%\intrenat.exe病毒主程式
%SystemDir%\ntdll32.dll 鉤子模組
%SystemDir%\wdata32.dll 記錄用戶輸入數據
2.在註冊表中添加下列啟動項:
在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intrenat" = %SystemDir%\intrenat.exe
這樣,在Windows啟動時,病毒就可以自動執行。
病毒通過修改下列註冊表鍵值,修改檔案關聯:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"" = c:\winnt\system32\intrenat.exe %1 %*
這樣,用戶打開任何exe檔案,都會再次運行病毒程式。
3.安裝鉤子,子類化IE伺服器視窗(Internet Explorer_Server),當發現網頁上有以下一些字元時開始記錄用戶輸入信息。
Password
Text
密碼:
Reset
Submit
4.將記錄的用戶信息發往指定信箱 。
