基本介紹
- 中文名:Worm.Troj.Ciadoor.12
- 威脅級別:★★
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
病毒概述,病毒性質,病毒行為,
病毒概述
病毒別名:Backdoor.Win32.Ciadoor.122.d[AVP]
病毒性質
值得一提的是,該病毒的優先權別是實時。它修改註冊表使自己能開機運行。然後打開後門,並將用戶的系統信息,例如本機IP位址、監聽連線埠、用戶名、連線密碼等傳送的指定地方,等待外界連線。木馬種植者獲取這些信息之後就可以連線到中了該病毒的用戶電腦,幾乎可以完全控制該用戶的電腦:進行各種檔案操作,查看或者關閉進程,控制視窗,獲取視頻、音頻,記錄鍵盤訊息,盜取快取中的密碼,關閉系統,更改電腦的各種設定,查看瀏覽器歷史記錄,盜取剪貼簿信息,盜取系統信息;它還盜取各種密碼,包括遊戲和軟體的CDKEY以及序列號。
病毒行為
1.在WinNT系統將自己複製為%System32%\WinIogon.exe,並且釋放檔案%System32%\%System32%\ckl009.dat,病毒進程優先權為實時;在Win9X系統將自己複製為%SystemRoot%\WinIogon.exe,
2.修改註冊表:
添加表項(WinNT):
"Windows Logon"="%System32%\WinIogon.exe"
到下面的一項或者幾項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run
修改表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"="WinIogon.exe"
"load"="WinIogon.exe"
修改表項(WinNT):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon
"shell"="Explorer.exe WinIogon.exe"
添加表項(Win9X):
"Windows Logon"="%SystemRoot%\WinIogon.exe"
到下面的一項或者幾項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run
3.在Win9X系統,修改Win.ini和System.ini檔案:
Win.ini
[windows]
load="C:\WINDOWS\WinIogon.exe"
run="C:\WINDOWS\WinIogon.exe"
System.ini
[boot]
shell=Explorer.exe C:\WINDOWS\WinIogon.exe
4.使用ICQ郵件或者CGI腳本傳送給木馬種植者本機系統信息,例如I本機P地址、監聽連線埠、用戶名、伺服器版本、伺服器密碼等等。
5.開放TCP連線埠6333供外界木馬種植者連線並控制本機(默認開放TCP連線埠5888、6888)。控制端可以對本機做以下操作:
複製、移動、刪除以及執行檔案;
查看或者關閉進程;
控制視窗;
抓取螢幕
抓取音頻;
記錄鍵盤訊息;
控制網路攝像機並抓取圖片;
盜取快取中的密碼;
上傳下載檔案;
關閉系統
查看瀏覽器歷史記錄;
盜取剪貼簿信息;
盜取系統信息;
創建並運行批處理檔案;
盜取系統檔案;
運行DOS密碼;
彈出假冒的MSN登入用戶視窗盜取MSN賬號和密碼;
6.盜取遊戲和軟體的CDKEY以及序列號:
Counter-Strike
Half-Life
C&C Generals
Gunman Chronicles
Adobe Photoshop 6.0
IGI 2 - Covert Strike
Industry Giant 2
James Bond 007 - Nightfire
Medal Of Honor: Allied Assault
Medal Of Honor: Allied Assault - Spearhead
Need For Speed: Hot Pursuit 2
Shogun: Total War - Warlord Edition
Operation Flashpoint
Soldiers Of Anarchy
Unreal Tournament 2003
FIFA 2003
Red Alert 2
Red Alert Tiberian Sun
Operation Flashpoint Resistance
Sim City 4
US Special Forces: Team Factor
Adobe Photoshop 7.0
Adobe Illustrator 10.0
MIRC
Micro DVD Player
Adobe Photoshop Plugin Eye Candy 4.0
Adobe Photoshop Plugin Xenofex 1.0
Borland C++ Builder 6 Key
Borland C++ Builder 6 Licence
Delphi 6 Key
Delphi 6
Delphi 7
Macromedia Dreamweaver MX
Macromedia Flash MX
Macromedia Flash 5
Macromedia Freehand 10
Macromedia Fireworks MX
