减小字体
增大字体- ·上一篇文章:Backdoor.win32.codbot.m蠕虫分析
- ·下一篇文章:小燕病毒分析报告
2004 年流行木马 . 后门 . 间谍广告排行
木马系列
1 .
名称:破天木马 (Troj.Win32.PCIKpomm)
介绍: 截取得账号信息包括区域,服务器,账号,密码,新增加截取人物名称和等级的功能, 能自行关闭多种杀毒软件及防火墙。
1. 释放文件到: "%System%systeml.dll", (47104 byte)"%System%explorep.exe", (14336 byte)
2. 在注册表主键 HKEY_LOCAL_MATIONSOFTWAREMicrosoftWindowsCurrentVersion 下添加键值 "run" = "%System%explorep.exe" 在注册表主键 HKEY_LOCAL_MATIONSOFTWAREMicrosoftWindows 下添加键值: "mail" = " 木马设定的邮件地址 " 修改注册表主键 HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows 下修改如下键值: "load" = "%System%explorep.exe" 默认健值为: "load" = ""
3. 关闭如下防火墙:木马克星 . 噬菌体 .LockDown.ZoneAlarm
2 .
名称: 传奇木马 2.0 (Troj.Win32.Mir2.qr)
介绍: 通过网页脚本下载 , 用户误运行,或利用 IE 脚本漏洞运行,可准确截取传奇游戏的登陆区、 ID 、密码、服务器,等级和物品信息,无论采取什么方式登陆传奇都可截取,木马得到这些信息后,会将信息发送到一个 ASP 网页中,并可以转发到指定的信箱操作。
3 .
名称: 安哥变种 (Troj.Win32.Agobot)
介绍: “安哥变种”为木马病毒,该病毒拷贝自身到系统目录并运行,同时使用弱口令进行攻击远程系统,如果攻击成功,则会上传病毒。染毒后,该病毒能盗取系统以及大量游戏的正版序列号,同时使用随机的高端口,在被感染的系统中创建 FTP 服务器。
4 .
名称:灰鸽子( Backdoor.GrayBird.n )
介绍:具备多种文件操作功能,模枋 Windows 资源管理器,可以对文件进行:复制、粘贴,可以对远程系统进行各种控制操作,采用反弹上线功能使得内网用户也成为其控制的傀儡。
5 .
名称: 黑洞 2004 (Backdoor.Win32.Singu.v)
介绍:供反向连接和主动连接两种模式 , 具有杀防火墙功能 . 反向连接型服务端支持 HTTP 代理,主动连接支持 HTTP 代理和 SOCKET5 代理。 支持同时对任意数量的服务端进行操作,键盘记录功能,屏幕录像功能,
6 .
名称:传奇密码发送者 5.0 传奇密码发送者 5.0.exe Trojan.PSW.Lmir.hr
介绍:可准确截取传奇游戏的登陆区、 ID 、密码、服务器,等级和物品信息,无论采取什么方式登陆传奇都可截取,并发送到指定的信箱操作。
7 .
名称:传奇 2 木马 (Troj.Win32.PSWMir2Dll)
介绍:这是窃取传奇 2 网络游戏的木马释放的 DLL ,一般用于监听键盘消息,或接管网络通信,并将其中的敏感信息(如账号 . 密码)收集起来,发送给木马收集者。该文件常常伴随一个 EXE 文件。如果手工清除时只删除此文件,有可能无法彻底删除,还需删除调用其的可执行程序。
8 .
名称:木马下载生成器 (Troj.Win32.Agent.w)
介绍:这是一个广告木马服务端生成器,它可以指定生成的木马的三个设置,分别是访问或者下载其他木马程序的网址 . 生成的木马的程序名 . 以及该木马在注册表启动的名称。一旦运行了生成的木马,将在用户不知情的情况下访问指定的网址,下载其他更具危害的木马病毒,它在注册表中添加了开机运行项目,使自己能每次开机都运行,使受害者一直受害。
9 .
名称: 色情木马 (Troj.Win32.Sced.a)
介绍: 运行后将自身拷贝到 %system%mcc.exe 并在注册表: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 添加 "Multimedia Codecs" = "%system%mcc.exe" 以便该病毒在系统启动时被加载 该程序自身在线升级,打开指定页面,下载并运行指定程序等。这些动作被记录为文件存放在网上,由病毒下载相关文件,并进行分析,从而识别和执行黑客预先设置的指令。
10 .
名称:传奇幽痕 Explorerm.exe Trojan.PSW.QQpass.at setup.exe Trojan.PSW.QQpass.at
介绍:可截取到热血传奇的区 .ID. 密码,截取的内容可以发送到恶意用户事先设定好的目的信箱去,本机使用 , 运行设置端程序进行设置 , 设置成功后程序会自动复制监控文件到系统中并运行 , 密码监控端运行时 , 正常情况下不会出现任何提示和警告。
后门系列:
1 .
名称 : RADMIN2.1(RiskWare.RemoteAdmin.RAdmin.21)
介绍 : Radmin 是一个远程监控程序,可以通过网络控制其它的计算机,可以实现全屏功能,好像在使用自己的计算机。只要能通过局域网或互连网相连,对方的计算机可以在任何地方。即使通过 MODEM 也能达到较高的传输速度。
2 .
名称 : 网络星光 v1.0(Backdoor.Way.35) 介绍 : 网络星光是一款远程监控软件, 具体功能包括:
1. 查看远程主机进程和窗口信息,并能自由 结束相应进程和窗口;
2. 远程文件操作:包括创建 . 上传 . 下载 . 复制 . 删除文件或目录 . 远程打开文件等多项文件操作功能;
3. 远程命令控制:包括远程关机 . 桌面控制 . 鼠标控制 . 更改系统设置 . 操作远程屏幕等多项功能;
4. 程注册表操作:包括对主键的浏览 . 增删 . 复制 . 重命名和对远程注册表锁定等所有注册表操作功能;
3 .
名称:下载利器 (TrojanDownloader.Liqi)(TrojanDownloader.Liqi.maker.enc)
介绍: TrojanDownloader.Liqi 下载指定网址病毒到本地运行 TrojanDownloader.Liqi.maker.enc TrojanDownloader.Liqi 生成工具 一个用 DELPHI 编的小的后门辅助程序( 10K ),执行后可以下载指定程序并执行。
4 .
名称:超级用户隐藏器 (Trojan.Win32.AddShare.g)
介绍:需要 vb 运行库,运行方法: door < 用户 >:< 密码 > 管理员在打开“计算机管理”和 cmd 时把用户删掉,管理员看过用户后,关闭“计算机管理”或 cmd 时用户又复原,用以躲开管理原的查看。
5 .
名称: svchost.rar(Backdoor.Wdoor.11)
介绍:利用 http 端口重用技术,穿透防火墙。在目标机器安装后, telnet ip 80 端口就会连接到目标主机,这是一个控制台形式的后门程序。监听端口,等待连接,提供对本地机器的控制服务。
6 .
名称: Devil3.zip(Backdoor.Delf.hg)
介绍:一款后门程序,使用了线程插入技术,可以把后门程序以 dll 文件的形式插入到系统关键进程 svchost.exe 当中,使后门更具隐蔽性,开机自启动,然后开放端口 820 等待连接,可使用 Telnet 程序便可控制该后门。程序在第一次运行的时候,不能创建后门,需要在重新启动计算机后才能正常创建后门。
7 .
名称: hxdef084(Backdoor.HacDef.084)
介绍:内核级后门软件,用户可以通过本软件隐藏文件 . 进程 . 系统服务 . 系统驱动 . 注册表键的键和键值 . 打开的端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动,并且隐身地控制被隐藏进程。程序安装隐藏后门,注册隐藏系统服务并且安装系统驱动。该后门技术允许植入 Redirector ,参数较多
8 .
名称: ntbindshell (Backdoor.Remserv)
介绍: Win32 内核工具 - cmd.exe 远程后门程序,该程序运行后将驻留内存等待用户的连接。(监听 26103 端口)一旦联接建立病毒将启动一个 cmd.exe 进程,并通过 pipe 把输入输出重定位 .( 一个远程 shell)
9 .
名称: SRV ( Backdoor.SrvCmd.b )
介绍:这是一个 cmdshell 程序 . 和小榕流光中所代的 srv 一样 . 程序在肉鸡上运行后开 5188 端口 . 恶意用户则使用 telnet ip 5188 进行连接,属于 Socket 程序 . 10 . 名称: ftp 木马 (Backdoor.Formador.c) 介绍:动随机启动,后台运行 隐藏在后台,开一个 FTP 后门
间谍广告系列:
1 .
名称: qq 尾巴 (Trojan-Clicker.Win32.VB.dv)
介绍:在某个网站首页上嵌入了一段恶意代码,利用 IE 的 iFrame 系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助 QQ 进行垃圾信息发送的目的。
2 .
名称:武汉男生 exe.dat Trojan.PSW.Lmir.gen DLL.dat Trojan-PSW.Win32.Lmir.xk
介绍:采用多线程回避各种杀毒软件的技术,在配置程序的时候根本不需要邮箱密码,针对传奇私服的问题,利用层层过滤的手段,拒绝了垃圾信件的产生,对发送的信息采用了高端的加密措施保护措施。
3 .
名称: qq 千夫指 5(Backdoor.Delf.fz)
介绍:能够给 oicq 用户连续发送消息。适用于 OICQ 、 QQ2000 、 QQ2003 等现有版本可在发送消息中加入广告网址
4 .
名称: HARDCORESEX(not-a-virus.PornWare.Dialer.Generic()
介绍:间谍广告运行后,在桌面生成 SuperZugang ,运行该间谍广告后弹出连接到色情网站对话框,把原间谍广告复制到 My Documents 下。
5 .
名称: Access Members Area(not-a-virus.PornWare.Dialer.Juicy)
介绍:间谍广告运行后,在桌面生成 Access Members Area.exe 文件,运行该间谍广告后弹出连接到色情网站对话框。
6 .
名称: not-a-virus.PornWare.Dialer.Generic
介绍:连接到某个色情网站,有若干个选项,诱导用户进行选择,加入系统进程。
7 .
名称: not-a-virus.PornWare.Dialer.Salc(6D9AE196)
介绍:连接到色情网站,有若干个选项,诱导用户进行选择,加入系统进程。
8 .
名称: TopRebates.exe (not-a-virus.AdWare.TopRebates.a)
介绍:运行后会弹出一个广告窗体
9 .
名称: Mijn Worldcup(not-a-virus.PornWare.Dialer.Generic)
介绍:运行后自动连接到网站 (http://www.ims.nl/plugin)
10 .
名称: Cashfiesta
介绍:自动连接某网站,下载并安装广告发送程序,加入系统进程。
1 .
名称:破天木马 (Troj.Win32.PCIKpomm)
介绍: 截取得账号信息包括区域,服务器,账号,密码,新增加截取人物名称和等级的功能, 能自行关闭多种杀毒软件及防火墙。
1. 释放文件到: "%System%systeml.dll", (47104 byte)"%System%explorep.exe", (14336 byte)
2. 在注册表主键 HKEY_LOCAL_MATIONSOFTWAREMicrosoftWindowsCurrentVersion 下添加键值 "run" = "%System%explorep.exe" 在注册表主键 HKEY_LOCAL_MATIONSOFTWAREMicrosoftWindows 下添加键值: "mail" = " 木马设定的邮件地址 " 修改注册表主键 HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows 下修改如下键值: "load" = "%System%explorep.exe" 默认健值为: "load" = ""
3. 关闭如下防火墙:木马克星 . 噬菌体 .LockDown.ZoneAlarm
2 .
名称: 传奇木马 2.0 (Troj.Win32.Mir2.qr)
介绍: 通过网页脚本下载 , 用户误运行,或利用 IE 脚本漏洞运行,可准确截取传奇游戏的登陆区、 ID 、密码、服务器,等级和物品信息,无论采取什么方式登陆传奇都可截取,木马得到这些信息后,会将信息发送到一个 ASP 网页中,并可以转发到指定的信箱操作。
3 .
名称: 安哥变种 (Troj.Win32.Agobot)
介绍: “安哥变种”为木马病毒,该病毒拷贝自身到系统目录并运行,同时使用弱口令进行攻击远程系统,如果攻击成功,则会上传病毒。染毒后,该病毒能盗取系统以及大量游戏的正版序列号,同时使用随机的高端口,在被感染的系统中创建 FTP 服务器。
4 .
名称:灰鸽子( Backdoor.GrayBird.n )
介绍:具备多种文件操作功能,模枋 Windows 资源管理器,可以对文件进行:复制、粘贴,可以对远程系统进行各种控制操作,采用反弹上线功能使得内网用户也成为其控制的傀儡。
5 .
名称: 黑洞 2004 (Backdoor.Win32.Singu.v)
介绍:供反向连接和主动连接两种模式 , 具有杀防火墙功能 . 反向连接型服务端支持 HTTP 代理,主动连接支持 HTTP 代理和 SOCKET5 代理。 支持同时对任意数量的服务端进行操作,键盘记录功能,屏幕录像功能,
6 .
名称:传奇密码发送者 5.0 传奇密码发送者 5.0.exe Trojan.PSW.Lmir.hr
介绍:可准确截取传奇游戏的登陆区、 ID 、密码、服务器,等级和物品信息,无论采取什么方式登陆传奇都可截取,并发送到指定的信箱操作。
7 .
名称:传奇 2 木马 (Troj.Win32.PSWMir2Dll)
介绍:这是窃取传奇 2 网络游戏的木马释放的 DLL ,一般用于监听键盘消息,或接管网络通信,并将其中的敏感信息(如账号 . 密码)收集起来,发送给木马收集者。该文件常常伴随一个 EXE 文件。如果手工清除时只删除此文件,有可能无法彻底删除,还需删除调用其的可执行程序。
8 .
名称:木马下载生成器 (Troj.Win32.Agent.w)
介绍:这是一个广告木马服务端生成器,它可以指定生成的木马的三个设置,分别是访问或者下载其他木马程序的网址 . 生成的木马的程序名 . 以及该木马在注册表启动的名称。一旦运行了生成的木马,将在用户不知情的情况下访问指定的网址,下载其他更具危害的木马病毒,它在注册表中添加了开机运行项目,使自己能每次开机都运行,使受害者一直受害。
9 .
名称: 色情木马 (Troj.Win32.Sced.a)
介绍: 运行后将自身拷贝到 %system%mcc.exe 并在注册表: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 添加 "Multimedia Codecs" = "%system%mcc.exe" 以便该病毒在系统启动时被加载 该程序自身在线升级,打开指定页面,下载并运行指定程序等。这些动作被记录为文件存放在网上,由病毒下载相关文件,并进行分析,从而识别和执行黑客预先设置的指令。
10 .
名称:传奇幽痕 Explorerm.exe Trojan.PSW.QQpass.at setup.exe Trojan.PSW.QQpass.at
介绍:可截取到热血传奇的区 .ID. 密码,截取的内容可以发送到恶意用户事先设定好的目的信箱去,本机使用 , 运行设置端程序进行设置 , 设置成功后程序会自动复制监控文件到系统中并运行 , 密码监控端运行时 , 正常情况下不会出现任何提示和警告。
后门系列:
1 .
名称 : RADMIN2.1(RiskWare.RemoteAdmin.RAdmin.21)
介绍 : Radmin 是一个远程监控程序,可以通过网络控制其它的计算机,可以实现全屏功能,好像在使用自己的计算机。只要能通过局域网或互连网相连,对方的计算机可以在任何地方。即使通过 MODEM 也能达到较高的传输速度。
2 .
名称 : 网络星光 v1.0(Backdoor.Way.35) 介绍 : 网络星光是一款远程监控软件, 具体功能包括:
1. 查看远程主机进程和窗口信息,并能自由 结束相应进程和窗口;
2. 远程文件操作:包括创建 . 上传 . 下载 . 复制 . 删除文件或目录 . 远程打开文件等多项文件操作功能;
3. 远程命令控制:包括远程关机 . 桌面控制 . 鼠标控制 . 更改系统设置 . 操作远程屏幕等多项功能;
4. 程注册表操作:包括对主键的浏览 . 增删 . 复制 . 重命名和对远程注册表锁定等所有注册表操作功能;
3 .
名称:下载利器 (TrojanDownloader.Liqi)(TrojanDownloader.Liqi.maker.enc)
介绍: TrojanDownloader.Liqi 下载指定网址病毒到本地运行 TrojanDownloader.Liqi.maker.enc TrojanDownloader.Liqi 生成工具 一个用 DELPHI 编的小的后门辅助程序( 10K ),执行后可以下载指定程序并执行。
4 .
名称:超级用户隐藏器 (Trojan.Win32.AddShare.g)
介绍:需要 vb 运行库,运行方法: door < 用户 >:< 密码 > 管理员在打开“计算机管理”和 cmd 时把用户删掉,管理员看过用户后,关闭“计算机管理”或 cmd 时用户又复原,用以躲开管理原的查看。
5 .
名称: svchost.rar(Backdoor.Wdoor.11)
介绍:利用 http 端口重用技术,穿透防火墙。在目标机器安装后, telnet ip 80 端口就会连接到目标主机,这是一个控制台形式的后门程序。监听端口,等待连接,提供对本地机器的控制服务。
6 .
名称: Devil3.zip(Backdoor.Delf.hg)
介绍:一款后门程序,使用了线程插入技术,可以把后门程序以 dll 文件的形式插入到系统关键进程 svchost.exe 当中,使后门更具隐蔽性,开机自启动,然后开放端口 820 等待连接,可使用 Telnet 程序便可控制该后门。程序在第一次运行的时候,不能创建后门,需要在重新启动计算机后才能正常创建后门。
7 .
名称: hxdef084(Backdoor.HacDef.084)
介绍:内核级后门软件,用户可以通过本软件隐藏文件 . 进程 . 系统服务 . 系统驱动 . 注册表键的键和键值 . 打开的端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动,并且隐身地控制被隐藏进程。程序安装隐藏后门,注册隐藏系统服务并且安装系统驱动。该后门技术允许植入 Redirector ,参数较多
8 .
名称: ntbindshell (Backdoor.Remserv)
介绍: Win32 内核工具 - cmd.exe 远程后门程序,该程序运行后将驻留内存等待用户的连接。(监听 26103 端口)一旦联接建立病毒将启动一个 cmd.exe 进程,并通过 pipe 把输入输出重定位 .( 一个远程 shell)
9 .
名称: SRV ( Backdoor.SrvCmd.b )
介绍:这是一个 cmdshell 程序 . 和小榕流光中所代的 srv 一样 . 程序在肉鸡上运行后开 5188 端口 . 恶意用户则使用 telnet ip 5188 进行连接,属于 Socket 程序 . 10 . 名称: ftp 木马 (Backdoor.Formador.c) 介绍:动随机启动,后台运行 隐藏在后台,开一个 FTP 后门
间谍广告系列:
1 .
名称: qq 尾巴 (Trojan-Clicker.Win32.VB.dv)
介绍:在某个网站首页上嵌入了一段恶意代码,利用 IE 的 iFrame 系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助 QQ 进行垃圾信息发送的目的。
2 .
名称:武汉男生 exe.dat Trojan.PSW.Lmir.gen DLL.dat Trojan-PSW.Win32.Lmir.xk
介绍:采用多线程回避各种杀毒软件的技术,在配置程序的时候根本不需要邮箱密码,针对传奇私服的问题,利用层层过滤的手段,拒绝了垃圾信件的产生,对发送的信息采用了高端的加密措施保护措施。
3 .
名称: qq 千夫指 5(Backdoor.Delf.fz)
介绍:能够给 oicq 用户连续发送消息。适用于 OICQ 、 QQ2000 、 QQ2003 等现有版本可在发送消息中加入广告网址
4 .
名称: HARDCORESEX(not-a-virus.PornWare.Dialer.Generic()
介绍:间谍广告运行后,在桌面生成 SuperZugang ,运行该间谍广告后弹出连接到色情网站对话框,把原间谍广告复制到 My Documents 下。
5 .
名称: Access Members Area(not-a-virus.PornWare.Dialer.Juicy)
介绍:间谍广告运行后,在桌面生成 Access Members Area.exe 文件,运行该间谍广告后弹出连接到色情网站对话框。
6 .
名称: not-a-virus.PornWare.Dialer.Generic
介绍:连接到某个色情网站,有若干个选项,诱导用户进行选择,加入系统进程。
7 .
名称: not-a-virus.PornWare.Dialer.Salc(6D9AE196)
介绍:连接到色情网站,有若干个选项,诱导用户进行选择,加入系统进程。
8 .
名称: TopRebates.exe (not-a-virus.AdWare.TopRebates.a)
介绍:运行后会弹出一个广告窗体
9 .
名称: Mijn Worldcup(not-a-virus.PornWare.Dialer.Generic)
介绍:运行后自动连接到网站 (http://www.ims.nl/plugin)
10 .
名称: Cashfiesta
介绍:自动连接某网站,下载并安装广告发送程序,加入系统进程。
