基本介紹
- 中文名:密碼解霸
- 外文名:Backdoor.PowerSpider
- 病毒類型:後門
- 危害等級:高
危害等級病毒名稱,病毒描述,危害等級,行為分析,
危害等級病毒名稱
Backdoor.PowerSpider.a
病毒描述
Backdoor.PowerSpider.a (密碼解霸服務端) 可以捕獲 Win9x/Win2k/WinXp 下的幾乎所有普通視窗的登錄密碼(如: 如 : OICQ , ICQ , Outlook ,上網賬號 , 軟體註冊碼、各種遊戲軟體 , 各種財務軟體 , 各種管理軟體 , 撥接 , 已分享資料夾等 ), 另外還可捕獲具有加密功能的遊戲密碼(如:傳奇、奇蹟、千年、紅月、邊鋒)等敏感信息。將捕獲的密碼保存並傳送到配置在服務端內的指定信箱中,客戶端還具有線上升級功能是一種危險性較高的木馬。 服務段運行後會連線網路,到 http://eu.2288.org/ 下載 eu.exe 到本地運行。該地址( http://eu.2288.org/ )現以不存在。
危害等級
檔案長度: 139,264 位元組
感染系統: Windows 9x以上的所有版本
編寫語言: Visual C++ 6.0
行為分析
1 、 運行該木馬後,在 %\WINDOWS\system32\ 下生成 iexplore .exe 和 mspbhook.dll 兩個檔案,系統啟動 300 毫秒後加入 C:\WINDOWS\system32\IEXPLORE .EXE 到啟動項。
2 、 修改註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\mssysint
字串 : "IEXPLORE .EXE" 將自身加入服務。
3 、 增加註冊表鍵 HKEY_CLASSES_ROOT\ZDns 和 HKEY_CLASSES_ROOT\ZPwd_box 。
4 、 修改註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box\tmUpgrade_p , 用來升級。
? 盜取網路遊戲客戶端密碼, Win9x/Win2k/WinXp 下的幾乎所有普通視窗的登錄
碼,及各種在網頁的登錄密碼登入時的賬戶及密碼。
6 、 載入 mpr.dll ,調用函式 " WNetEnum Cached Passwords " ,獲取本地使用的密碼,包括 : moden,URL , 共享密碼及其他類型的密碼。
