减小字体
增大字体- ·上一篇文章:Ipxsrv 、 nwlink 病毒分析报告
- ·下一篇文章:警惕Mytob最新变种Net-Worm.Win32.Mytob.w
密码解霸( Backdoor.PowerSpider.a ) 分析
病毒标签:
病毒名称: Backdoor.PowerSpider.a
中文名称: 密码解霸
病毒类型: 后门
危害等级: 高 文件长度: 139,264 字节
感染系统: Windows 9x以上的所有版本
编写语言: Visual C++ 6.0
病毒描述:
Backdoor.PowerSpider.a (密码解霸服务端) 可以捕获 Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录密码(如: 如 : OICQ , ICQ , Outlook ,上网账号 , 软件注册码、各种游戏软件 , 各种财务软件 , 各种管理软件 , 拨号上网 , 共享目录等 ), 另外还可捕获具有加密功能的游戏密码(如:传奇、奇迹、千年、红月、边锋)等敏感信息。将捕获的密码保存并发送到配置在服务端内的指定信箱中,客户端还具有在线升级功能是一种危险性较高的木马。 服务段运行后会连接网络,到 http://eu.2288.org/ 下载 eu.exe 到本地运行。该地址( http://eu.2288.org/ )现以不存在。
行为分析:
1 、 运行该木马后,在 %\WINDOWS\system32\ 下生成 iexplore .exe 和 mspbhook.dll 两个文件,系统启动 300 毫秒后加入 C:\WINDOWS\system32\IEXPLORE .EXE 到启动项。
2 、 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\mssysint
字串 : "IEXPLORE .EXE" 将自身加入服务。
3 、 增加注册表键 HKEY_CLASSES_ROOT\ZDns 和 HKEY_CLASSES_ROOT\ZPwd_box 。
4 、 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box\tmUpgrade_p , 用来升级。
•盗取网络游戏客户端密码, Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录
码,及各种在网页的登录密码登陆时的账户及密码。
6 、 加载 mpr.dll ,调用函数 " WNetEnum Cached Passwords " ,获取本地使用的密码,包括 : moden,URL , 共享密码及其他类型的密码。
7 、 扫描系统进程,包括 system , smss , csrss , winlogon , services , lsass , svchost , spoolsv , explorer , rundll32 , assistse , c tfmon , wscntfy , alg , TIMPlatform , wscntfy , alg,Idle 及密码解霸生成的 IEXPLOER .EXE 同 sniff , netxray , dasm , iris , softice , trw 进行比较,若存在上述进程便将其结束。
病毒名称: Backdoor.PowerSpider.a
中文名称: 密码解霸
病毒类型: 后门
危害等级: 高 文件长度: 139,264 字节
感染系统: Windows 9x以上的所有版本
编写语言: Visual C++ 6.0
病毒描述:
Backdoor.PowerSpider.a (密码解霸服务端) 可以捕获 Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录密码(如: 如 : OICQ , ICQ , Outlook ,上网账号 , 软件注册码、各种游戏软件 , 各种财务软件 , 各种管理软件 , 拨号上网 , 共享目录等 ), 另外还可捕获具有加密功能的游戏密码(如:传奇、奇迹、千年、红月、边锋)等敏感信息。将捕获的密码保存并发送到配置在服务端内的指定信箱中,客户端还具有在线升级功能是一种危险性较高的木马。 服务段运行后会连接网络,到 http://eu.2288.org/ 下载 eu.exe 到本地运行。该地址( http://eu.2288.org/ )现以不存在。
行为分析:
1 、 运行该木马后,在 %\WINDOWS\system32\ 下生成 iexplore .exe 和 mspbhook.dll 两个文件,系统启动 300 毫秒后加入 C:\WINDOWS\system32\IEXPLORE .EXE 到启动项。
2 、 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\mssysint
字串 : "IEXPLORE .EXE" 将自身加入服务。
3 、 增加注册表键 HKEY_CLASSES_ROOT\ZDns 和 HKEY_CLASSES_ROOT\ZPwd_box 。
4 、 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box\tmUpgrade_p , 用来升级。
•盗取网络游戏客户端密码, Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录
码,及各种在网页的登录密码登陆时的账户及密码。
6 、 加载 mpr.dll ,调用函数 " WNetEnum Cached Passwords " ,获取本地使用的密码,包括 : moden,URL , 共享密码及其他类型的密码。
7 、 扫描系统进程,包括 system , smss , csrss , winlogon , services , lsass , svchost , spoolsv , explorer , rundll32 , assistse , c tfmon , wscntfy , alg , TIMPlatform , wscntfy , alg,Idle 及密码解霸生成的 IEXPLOER .EXE 同 sniff , netxray , dasm , iris , softice , trw 进行比较,若存在上述进程便将其结束。
