一个利用ICQ进行传播的蠕虫病毒。
病毒行为:
该病毒运后将自己复制到%system%\sysmon目录下,文件名为:sysmon.exe
并在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion中加入自己的键值:sysmon
病毒释放两个名为Java32.dll及javaext.dll的文件。(为病毒的Hook模块)对用户进行监视,对特定窗口进行密码盗取。
病毒体内包含的窗口文本:
SUNCORP METWAY
VeriSign Partner Manager
VeriSign Personal Trust Service
Commercial Electronic Office Sign On
Wells Fargo - Small Business Home Page
Merchant Administration
American EXPress UK - Personal Finance
Secure User Area
Barclaycard Merchant Services
Collegamento a Scrigno
E*TRADE Log On
e-gold Account Access
baNK
.....
病毒将盗取的用户密码,账号等信息记录在以下文件中。并把它们上传到一个特定的FTP网站。
~pass.log,~key.log,~post.log
ICQ传播:
病毒结束当前系统的ICq进程并利用Icq的SDK对当前用户的联系人发送信息。
“http://***www.####w##d.b##/index.Html”该网页下载一个病毒文件meine.scm,该文件利用icq漏洞执行代码并生成几个病毒文件。其中WinUpdate.exe为一个下载器,它将从特定网站上下载病毒并执行。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-2-25
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
