替换ctfmon.exe的下载器window.exe的方法
病毒描述:
此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作
File: window.exe
Size: 19380 bytes
Modified: 2007年10月19日, 17:42:28
MD5: BDAA1AB926518C7D3C05B730C8B5872C
SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A
CRC32: BEC77526
1.病毒运行后,生成以下文件:
%systemroot%\system32\ctfmon.exe.tmp
结束ctfmon.exe进程,之后启动
%systemroot%\system32\ctfmon.exe.tmp
2.修改注册表
在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
下面的PendingFileRenameOperations添加键值,使得重启之后把ctfmon.exe.tmp
重命名为ctfmon.exe
3.遍历非系统分区下面的
php,jsp,asp,htm,html文件,在其后面加入 的代码
4.通过netsh firewall add allowedprogram %systemroot%\system32\ctfmon.exe命令
把%systemroot%\system32\ctfmon.exe加入到防火墙的允许列表中
5.试图以下列密码连接局域网内其他用户电脑
901100
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234
6.连接网络下载木马
下载http://60.190.*/elf_listo.txt到%systemroot%\system32下面
里面是木马下载列表
下载http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盘根目录下面
下载的木马均为盗号木马,可以盗取如下游戏的帐号密码(不限于)
奇迹世界
魔兽世界
QQ
天龙八部
问道
传奇世界 ...
其中一个传奇世界木马里面还有如下字样
木马植入完毕后的sreng日志如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]