Win32.Troj.LMir.ly是木馬病毒。
基本介紹
- 中文名:密碼王
- 外文名:Win32.Troj.Quack.c
- 處理時間:2004-07-14
- 威脅級別:★★
- 病毒類型:木馬
- 影響系統:Windows 2000, Windows 95, Windows 98, Windows Me,
- 編寫工具:lcc編寫,aspack壓縮
- 傳染條件:偽裝流行軟體,誘使用戶誤運行
發作條件,傳播過程,
發作條件
運行後,該木馬來搜尋用戶快取中的密碼賬號等,並模擬一個假的登入視窗來誘使用戶上當.木馬通過email來傳送賬號密碼給攻擊者.
傳播過程
1,通過打開互斥體QueenKarton_12來防止多重運行
2,拷貝自身到
%System%<八個隨機字元>.exe
3,生成%System%<八個隨機字元>.dll
4,生成%Temp%<八個隨機字元>.htm
5,向註冊表添加:
HKEY_CLASSES_ROOTCLSIDInProcServer32
"(Default)" = "<八個隨機字元>.dll"
"ThreadingModel" = "Apartment"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
"Web Event Logger" = ''''
HKEY_CURRENT_USERSoftwareMicrosoft
"QueenKarton" = "C"
6,修改註冊表鍵值:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones1
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones2
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones3
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones4
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones5
"1601" = "0"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings
"GlobalUserOffline" = "0"
7,在%System%生成下列檔案:
dnkkq.dll
kkq32.vxd
kkq32.dll
Rtdx1<數字>.dat
發作現象:
誤運行後,用戶會在%System%發現下列檔案:
dnkkq.dll
kkq32.vxd
kkq32.dll
並且病毒會彈出一個模擬銀行登入的視窗來誘使用戶輸入密碼.
特別說明:
