9月13日,反病毒中心监测到,两个恶意网站:
http://www.js******info.com
http://www.n***y.com
利用IE漏洞MS04-023种植CHM木马。木马程序是经过特殊配置的
键盘记录器(KeyLogger.PerfectKeyLogger.120),用户中招后,病毒将监视当前窗口的标题,如果标题包含“
qq”、“ICQ”、“MSN”、“
银行”、“
股票”、“上网卡”、“在线
支付”等字眼,病毒会自动进行键盘记录。并定时把窃取的信息通过电子
邮件发送出去。
具体技术特征如下:
1. 病毒运行后,将创建下列文件:
%SystemDir%\dllcache\pk.bin, 3680字节,病毒配置文件
%SystemDir%\dllcache\phantom.exe, 393216字节,病毒程序
%SystemDir%\dllcache\kw.dat, 803字节,病毒配置文件
%SystemDir%\dllcache\phantomhk.dll, 8704字节,病毒模块
%SystemDir%\dllcache\phantomi.dll, 215040字节,病毒模块
%SystemDir%\dllcache\phantomwb.dll, 40960字节,病毒模块
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe
这样,在Windows启动时,病毒就可以自动执行。
3. 采用进程隐藏技术,在Windows 2000和XP等基于NT的
系统上,病毒进程phantom.exe不会在“
进程管理器”列表中出现,另中毒用户
很难发觉。
4. 当前窗口标题包含下列字串时,病毒开始记录用户的键盘输入:
QQ ID ICQ MSN RMB FTP DNS VIP bank E-mail 会员
网易 空间 域名
邮箱 点卡 充值 转帐 汇款 美金 资金 亿唐 etang 8u8 163 网易 Yahoo 雅虎 Sohu
搜狐 商城 购物 管理 支付
股票 money 中国人 chinaren 上网卡 人民币 nease 发又发
Myrice 多来米 Hotmail 126.com yeah.net 163.com 3322.org meibu.com Serv-U CuteFTP
FlashFXP Outlook 文件上传 个人
银行 商业银行 网上银行 国际银行 国际
金融业务
银联支付网关 工商银行 牡丹
信用卡 招商银行 个人网上银行 中国建设银行
交通银行网上银行 深圳发展银行 民生银行 华夏银行 上海银行 首都电子商城
中国在线支付网 IPAY网上支付中心 中国在线支付网商户 招商银行网上支付
Irc Shell hacker Trojan Exploits lcx 蓝屏 木马 黑洞
黑客 密蜂 神气儿 灰鸽子 小凤居
黑鹰基地 网络
休闲庄 远程
桌面连接 Beast Radmin
5. 定时通过电子邮件把窃取的信息发送出去。
目前,利用MS04-023漏洞的CHM木马十分猖獗,我们
提醒广大用户,请立刻下载安装
微软的
安全补丁程序MS04-023,并及时更新
杀毒软件的病毒库,才能免受CHM木马病毒的侵害。