Win32.Troj.Tarno.b是木馬產品,屬於bmp,txt,rar。
基本介紹
- 外文名:Win32.Troj.Tarno.b
- 病毒類型:木馬
- 威脅級別:★
- 檔案擴展名:bmp,txt,rar
- 影響系統:Windows 2000, Windows 95, Windows 98, Windows Me
- 傳染條件:偽裝成流行軟體的新版本誘使用戶下載運行
- 編寫工具:vc
- 發作條件:在用戶雙擊運行後,病毒將會監視用戶訪問特定頁面的鍵盤記錄
系統修改,發作現象,
系統修改
1,建立%System%Drvin目錄
2,當用戶訪問下列網址時,病毒會記錄用戶的鍵盤輸入:
www.e-gold.com
www.e-gold.com/srk.asp
online-business.lloydstsb.co.uk/logon.ibc
online-business.lloydstsb.co.uk/customer.ibc
online.lloydstsb.co.uk/logon.ibc
online.lloydstsb.co.uk/customer.ibc
olb2.nationet.com/default2.asp
ibank.barclays.co.uk/fp/1_2d
www.ukpersonal.hsbc.co.uk/public/ukpersonal/internet_banking/en/logon.jhtml
www.ebank.hsbc.co.uk/logonindex.jsp
olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp?ID=
4,將監視結果存入%System%Drvin目錄,檔案擴展名一般為bmp,txt,rar.
5,病毒最後將監視結果通過自己的smtp發信引擎將監視結果傳送給攻擊者.
6,添加下列註冊表鍵值,作為該機器感染標記,防止重複監視:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPawerISwi = %datatime value%
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOarsCount
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPdot
發作現象
1,中毒用戶會在%System%發現名為Drvin的目錄,並且該資料夾存放有擴展名為bmp,txt,rar的檔案,打開bmp檔案,將會發現是用戶以前某個時間的截圖.
2,會在註冊表發現一下鍵值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPawerISwi = %datatime value%
HKEY_LOCAL_MACHINESOFTWAREMicrosoftOarsCount
HKEY_LOCAL_MACHINESOFTWAREMicrosoftPdot
特別說明:
