国内资深黑客详谈Trojan-PSW盗号木马_普通漏洞分析

国内资深黑客详谈Trojan-PSW盗号木马

2008-04-09 17:12 作者：子明来源：51CTO

[摘要] 近日在QQ上广泛传播地一段回答问题得到q币中奖消息中所包含的恶意链接，访问该链接将导致用户电脑感染多种木马程序，经过仔细分析这些木马几乎都归于一类——Trojan-PSW木马。

　　（5）当记录指定次数后，将3，4中记录的信息和图片通过电子邮件发送到webmaster@****.com。

　　（6）发送成功后，病毒将自身删除，但4中生成的.bmp图片并未被删除。

　　4.Trojan-PSW.Win32.QQRob（啊啦大盗）

　　啊啦大盗是一个窃取QQ密码的经典木马程序，当感染该病毒后，会出现无故弹出一些网页广告，使得某些反病毒软件不能正常运行，QQ密码丢失等现象。

　　具体行为分析：

　　1.该木马隐藏于一个畸形的CHM文件中，打开这个CHM文件，木马就会被自动释放出来并且得到执行；

　　2.木马被释放到%SYSTEM%目录，名为“NTdhcp.exe”，具有“隐藏”、“系统”和“只读”属性；

　　3.修改注册表，在注册表启动项

　　HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run下，

　　添加如下值："NTdhcp"="%SYSTEM%\NTdhcp.exe"

　　4.删除大量反病毒软件的在注册表启动项中的值：

　　KAVPersonal50RavMonRavTimerKvMonXPiDuba Personal FireWall

　　KAVRunKpopMonKulansynKavPFWccAppSSC_UserPromptNAV CfgWiz

　　MCAgentExeMcRegWizMCUpdateExeMSKAGENTEXEMSKDetectorExe

　　VirusScan OnlineVSOCheckTaskNetwork Associates Error Reporting Service

　　KavStartKWatch9x

　　5.设置注册表中下列各项的“Start”值为4，从而禁止这些反病毒服务程序：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework

<<上一页 1 2 3 4 5 6 7 8 下一页>>

关键词：黑客, Trojan-PSW, 盗号木马,