PC6下载站

分类分类

CHM木马技术分析报告

关注+2004-10-15作者:蓝点

    9月13日,反病毒中心监测到,两个恶意网站:


    http://www.js******info.com


    http://www.n***y.com


    利用IE漏洞MS04-023种植CHM木马。木马程序是经过特殊配置的键盘记录器(KeyLogger.PerfectKeyLogger.120),用户中招后,病毒将监视当前窗口的标题,如果标题包含“qq”、“ICQ”、“MSN”、“银行”、“股票”、“上网卡”、“在线支付”等字眼,病毒会自动进行键盘记录。并定时把窃取的信息通过电子邮件发送出去。


    具体技术特征如下:


    1. 病毒运行后,将创建下列文件:


    %SystemDir%\dllcache\pk.bin, 3680字节,病毒配置文件


    %SystemDir%\dllcache\phantom.exe, 393216字节,病毒程序


    %SystemDir%\dllcache\kw.dat, 803字节,病毒配置文件


    %SystemDir%\dllcache\phantomhk.dll, 8704字节,病毒模块


    %SystemDir%\dllcache\phantomi.dll, 215040字节,病毒模块


    %SystemDir%\dllcache\phantomwb.dll, 40960字节,病毒模块


    2. 在注册表中添加下列启动项:


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe


    这样,在Windows启动时,病毒就可以自动执行。


    3. 采用进程隐藏技术,在Windows 2000和XP等基于NT的系统上,病毒进程phantom.exe不会在“进程管理器”列表中出现,另中毒用户很难发觉。


    4. 当前窗口标题包含下列字串时,病毒开始记录用户的键盘输入:


    QQ ID ICQ MSN RMB FTP DNS VIP bank E-mail 会员 网易 空间 域名 邮箱


    点卡 充值 转帐 汇款 美金 资金 亿唐 etang 8u8 163 网易 Yahoo 雅虎 Sohu 搜狐


    商城 购物 管理 支付 股票 money 中国人 chinaren 上网卡 人民币 nease 发又发


    Myrice 多来米 Hotmail 126.com yeah.net 163.com 3322.org meibu.com Serv-U CuteFTP


    FlashFXP Outlook 文件上传 个人银行 商业银行 网上银行 国际银行 国际金融业务


    银联支付网关 工商银行 牡丹信用卡 招商银行 个人网上银行 中国建设银行


    交通银行网上银行 深圳发展银行 民生银行 华夏银行 上海银行 首都电子商城


    中国在线支付网 IPAY网上支付中心 中国在线支付网商户 招商银行网上支付


    Irc Shell hacker Trojan Exploits lcx 蓝屏 木马 黑洞 黑客 密蜂 神气儿 灰鸽子 小凤居


    黑鹰基地 网络休闲庄 远程桌面连接 Beast Radmin


    5. 定时通过电子邮件把窃取的信息发送出去。


    目前,利用MS04-023漏洞的CHM木马十分猖獗,我们提醒广大用户,请立刻下载安装微软安全补丁程序MS04-023,并及时更新杀毒软件的病毒库,才能免受CHM木马病毒的侵害。
展开全部

相关文章

更多+相同厂商

热门推荐

  • 最新排行
  • 最热排行
  • 评分最高
排行榜

    点击查看更多

      点击查看更多

        点击查看更多

        说两句网友评论

          我要评论...
          取消