Win32.Troj.TroBnb.a

王朝system·作者佚名  2008-08-14
宽屏版  字体: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

1503232

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个泡泡堂游戏的木马生成器,它能按木马播种者输入的参数生成该游戏的木马。

1:该程序可通过网页与邮箱两种方式把得到的密码发送到木马种植者的手中,

程序运行时,就需要木马种植者输入网页的地址与邮箱的地址,这样一但有用户中了病毒,

相应的网页地址与邮箱地址就会收到病毒发出的游戏帐号与密码信息了。

2:程序生成的木马分析

A:释放文件

该程序的木马运行后,会在系统目录下释放两个文件:

C:\Windows\system32\sheipp32.dll(Win32.Troj.PaoPao.er.53760)

C:\Windows\system32\svchospp.exe(Win32.Troj.PaoPao.16384)

然后程序自删除。

B:更改注册表

病毒会修改此处注册表,自己能随Windows启动

HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

SysDesk->"C:\WINDOWS\system32\svchospp.exe"

C:截取游戏泡泡堂堂的帐号与密码

svchospp.exe通过调用sheipp32.dll的方式来实现截取泡泡堂密码的动作的。

Sheipp32.dll先把泡泡堂的程序挂接住(Hook),一但发现用户输入密码的时候,

该文件就会把泡泡堂的帐号与密码记录下来,并传到svchospp.exe里,

并由svchospp.exe通过自带的邮件引擎发送到木马种植者的邮箱里。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
© 2005- 王朝网络 版权所有