病毒名称(中文):
病毒别名:
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:27040
影响系统:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003
病毒行为:
这是一个后门病毒。病毒运行后,会监控clipboard、键盘,搜索FTP工具软件的配置文件,获取用户IP、密码等信息。并利用自带的smtp引擎将记录的信息发送到指定的信箱。
1.病毒通过建立名为“Stamm-804”的全局原子体,以保证只有一个病毒体在运行。
2.释放大小为4096字节的动态链接文件winsms.dll到%WinDir%目录下,并调用其中的函数隐藏进程。
3.将自身拷贝到%System%目录下,命名为winldra.exe,并修改注册表建立启动项,从而达到开机自启的目的:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load32"="%System%\winldra.exe"
4.病毒体还会添加如下注册表项,记录病毒的各种操作:
[HKCU\Software\SARS]
5.在%WinDir%目录下生成netdx.dat文件,存储加密的字符集;
6.修改hosts文件,屏蔽著名安全站点,包括:
127.0.0.1www.trendmicro.com
127.0.0.1trendmicro.com
127.0.0.1rads.mcafee.com
127.0.0.1customer.symantec.com
等。
7.建立线程,监控clipboard的内容,将clipboard的内容记录在%WinDir%\prntc.log文件中。
8.建立线程,监控键盘,如果当前窗口标题包含有以下敏感文字,则将键盘键入的内容记录在%WinDir%\\prntk.log文件中:
"Bank"
"PayPal"
"ebay"
"Casino"
等。
9.搜索FTP工具软件(如totalcmd)的配置文件,获取用户IP、密码等信息,并存储在%Temp%\fe*.htm文件中。
10.利用自带的smtp引擎将记录的信息发送到指定的信箱。
11.监听TCP9125端口,等待远程控制指令。