基本介紹
- 中文名:泡泡幽靈
- 外文名:Win32.Hack.Verify.i
- 病毒別名:Backdoor.Win32.Verify.i[AVP]
- 威脅級別:★★
- 病毒類型:黑客程式
概述,病毒行為,
概述
處理時間:
病毒類型:黑客程式
影響系統:Win9x / WinNT
病毒行為
這是一個記錄用戶鍵盤按鍵信息以及視窗信息的木馬病毒。病毒圖示與網易泡泡的圖示很相似,而且生成一個DLL檔案MsIdle32Hook.dll,類似
網易泡泡的一個DLL問,以此迷惑用戶。然後通過該DLL來掛鈎系統鍵盤訊息,截獲用戶的按鍵信息以及對應的視窗信息,保存在系統system32
目錄下名為pMK_kLogF.txt、pMK_kLog.txt和pMK_wLog.txt中,到達一定時間將記錄的信息傳送到指定的信箱。設定時鐘不斷的將自身載入到啟
動項;傳送上線通知到預定網址,打開兩個後門連線埠,等待外界發來的控制命令;悄悄在系統中添加管理員帳號;下載網路檔案到本地計算機
運行;檔案還包含字元串“Love you *Huong*”
1.將自身複製到%System%\pVF.pMK下,並%System%在生成以下檔案:
MsIdle32Hook.dll
MsIdle32loader.dll
pMK_kLogF.txt
pMK_kLog.txt
pMK_wLog.txt
其中:
MsIdle32Hook.dll用來掛鈎系統鍵盤訊息,以此截取用戶的按鍵信息和對應的視窗信息;
MsIdle32loader.dll用來載入木馬MsIdle32Hook.dll;
pMK_kLogF.txt、pMK_kLog.txt記錄按鍵信息;
pMK_wLog.txt記錄視窗信息;
到達一定時間將記錄的信息按鍵和視窗信息傳送到指定的信箱
%SystemRoot%下生成檔案:
csrss.exe
smss.exe
smss.exe病毒運行體。
2.設定時鐘設定時鐘不斷的將自身載入到啟動項。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"csrss.exe"="%SystemRoot%\csrss.exe"
可能修改註冊表禁止打開註冊表編輯器和任務管理器:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableRegistryTools"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr"=dword:0x1
3.傳送上線通知到預定網址,併到指定的網址下載檔案到本地計算機運行。
4.可能將自身複製到區域網路中可寫目錄,以感染更多計算機,開設已分享資料夾,添加管理員帳號。
5.監聽連線埠1906和1907,等待外界攻擊者連線,並執行其發來的控制指令。
