Backdoor/Berbew.a是一個遠程訪問的木馬病毒。
基本介紹
影響平台,傳播過程,
影響平台
Win9X/2000/XP/NT/Me
Backdoor/Berbew.a是一個遠程訪問的木馬,運行後有下列功能:
使感染的機器作為Web代理伺服器
檢查遠程伺服器的升級
記錄感染計算機快取里的密碼信息並傳送給黑客
Backdoor/Berbew.a
傳播過程
1.複製自身到系統目錄下,檔案名稱為<8個任意字元>.exe;
在系統目錄下生成檔案,檔案名稱為<8個任意字元>.dll。
2.修改註冊表:
[HKEY_CLASSES_ROOT\CLSID\\InProcServer32]
"(Default)" = "生成的dll檔案路徑"
"ThreadingModel" = "Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger" =
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"FormSuggest Passwords" = yes AutoSuggest
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete BUTTON
#32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL
pstorec.dll k
"FormSuggest PW Ask" = yes AutoSuggest
%s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance
pstorec.dll k
pstorec.dll k
3.在感染的計算機上打開兩個連線埠,其中一個用作Web代理,一個用來進行通訊,一般情況下會選擇連線埠7714 、8546 、12334 、12324 。
4.傳送數據到遠程PHP腳本,這些數據包含機器的IP位址以及打開的連線埠號信息,還包含一些"校驗字元"用於木馬間的校驗通信。
5.木馬運行後一些數據被保存到感染的計算機系統目錄下,檔案名稱為NTXGL16並具有.dat、.vxd、.sys擴展名。
