密码盗窃器感染记事本程序 跳虫入住MSN

密码盗窃器感染记事本程序 跳虫入住MSN
2008年03月06日 18:51 中关村在线
    作者:张齐

    记者从金山毒霸方面了解到,密码盗窃器和MSN跳虫最近非常流行,两种木马分别通过伪装成记事本和MSN聊天方式掩盖自己,提醒广大网友注意。

    “密码盗窃器69632”(Win32.PSWTroj.QQPass.zc),这是一个盗窃密码的木马程序。该病毒将自己伪装成记事本程序,暗中截获用户在任何密码框中输入的数值,从而掌握用户的账号密码等敏感信息。它并不是采取常见的键盘记录,而搜索密码框类名,然后发送WM_GETTEXT 命令获取密码。
 
    “MSN跳虫55808”(Win32.TrojDownloader.MSNBot.m.55808),这是一个通过MSN进行传播的木马程序。它会从指定网址下载完整的木马程序,并将下载的木马压缩后通过MSN来进行传播。

    一、“密码盗窃器69632”(Win32.PSWTroj.QQPass.zc)  威胁级别:★★

    病毒进入系统后,首先会进行伪装。它搜索出系统盘%WINDOWS%目录下的记事本程序Notepad.exe,将其更名为Mspad.exe,然后将自己的病毒文件取名为Notepad.exe,释放到同一目录下。一起被释放出来的还有Eudcedit.exe、Freecell.exe、Msscr.exe等文件。

    接着,病毒修改系统注册表,将自己的相关数据写入启动项,实现开机自启动。如果顺利运行起来,它就使用 Timer 控件,监视窗口程序的运行,取得所有的窗口标题,判断其中是否有用于用户登录的窗口。如有,则监视登录窗口的密码输入栏,然后利用SendMessage函数命令,获取这些密码栏中的数据。

    顺便提及,病毒作者没有给此病毒设置判断外部按键事件的功能,它就无法记录用户的键盘输入,但作为弥补这一功能的缺失,它一旦成功开始运行就不会停止,直到被清除。由于是对全部的密码输入栏下手,包括QQ、MSN在内的许多即时通讯工具和机密文件都会遭受威胁。

    二、“MSN跳虫55808”(Win32.TrojDownloader.MSNBot.m.55808)  威胁级别:★

    病毒进入系统后,在系统盘%WINDOWS%\system32\目录下释放出病毒文件rmbsvc.exe。随后,它修改系统注册表,将自己加入启动项,实现开机自动运行。

    当运行起来,病毒会与木马种植者指定的远程服务器建立通信,当收到“确认攻击”的返回消息后,就从http://www.n**au.dk/m**ia/这个地址下载msn对话信息到IE浏览器的临时目录,然后根据对话信息里的地址,从http://www.stu**egroep***selen.nl/components这个地址下载自己的完整EXE格式程序,随机命名后存放到%WINDOWS%\Temp\,即IE浏览器的临时目录下。

    接下来,病毒就搜索用户电脑中的MSN即时通讯工具,读取用户的好友列表,将压缩为ZIP格式的病毒包发送出去,实现更大规模的传染。

木马程序
新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

科学探索

科学大家

苹果汇

众测

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片