替换ctfmon.exe的下载器window.exe的方法

病毒描述:
  此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作

  File: window.exe

  Size: 19380 bytes

  Modified: 2007年10月19日, 17:42:28

  MD5: BDAA1AB926518C7D3C05B730C8B5872C

  SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A

  CRC32: BEC77526

  1.病毒运行后,生成以下文件:

%systemroot%\system32\ctfmon.exe.tmp

  结束ctfmon.exe进程,之后启动

%systemroot%\system32\ctfmon.exe.tmp

  2.修改注册表

  在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

  下面的PendingFileRenameOperations添加键值,使得重启之后把ctfmon.exe.tmp

  重命名为ctfmon.exe

  

  

  3.遍历非系统分区下面的

  php,jsp,asp,htm,html文件,在其后面加入 的代码

  4.通过netsh firewall add allowedprogram %systemroot%\system32\ctfmon.exe命令

  把%systemroot%\system32\ctfmon.exe加入到防火墙的允许列表中

  5.试图以下列密码连接局域网内其他用户电脑

901100 
  mypass123 
  mypass 
  admin123 
  mypc123 
  mypc 
  love 
  pw123 
  Login 
  login 
  owner 
  home 
  zxcv 
  yxcv 
  qwer 
  asdf 
  temp123 
  temp 
  test123 
  test 
  fuck 
  fuckyou 
  root 
  ator 
  administrator 
  patrick 
  123abc 
  1234qwer 
  123123 
  121212 
  111111 
  alpha 
  2600 
  2003 
  2002 
  enable 
  godblessyou 
  ihavenopass 
  123asd 
  super 
  computer 
  server 
  123qwe 
  sybase 
  abc123 
  abcd 
  database 
  passwd 
  pass 
  88888888 
  11111111 
  000000 
  54321 
  654321 
  123456789 
  1234567 
  qq520 
  5201314 
  admin 
  12345 
  12345678 
  mein 
  letmein 
  2112 
  baseball 
  qwerty 
  7777 
  5150 
  fish 
  1313 
  shadow 
  1111 
  mustang 
  pussy 
  golf 
  123456 
  harley 
  6969 
  password 
  1234

  6.连接网络下载木马

  下载http://60.190.*/elf_listo.txt到%systemroot%\system32下面

  里面是木马下载列表

  下载http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盘根目录下面

  下载的木马均为盗号木马,可以盗取如下游戏的帐号密码(不限于)

奇迹世界 
  魔兽世界 
  QQ 
  天龙八部 
  问道 
  传奇世界  ...

  其中一个传奇世界木马里面还有如下字样   

  木马植入完毕后的sreng日志如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

(0)

相关推荐

  • 关于WIN32.EXE变态木马下载器的解决办法

    一.WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 二.运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下:Kernels8.exe自网络下载1.dlb.2.dlb.....等一堆木马到当前用户文件夹中,并自动运行.下载的木马加载运行后,又从网络上下载其它木马/蠕虫. 木马/蠕虫完全下载

  • 命令行使用支持断点续传的java多线程下载器

    复制代码 代码如下: package org.load.download; import java.io.File;import java.io.IOException;import java.io.InputStream;import java.io.RandomAccessFile;import java.text.DecimalFormat; import org.apache.http.HttpEntity;import org.apache.http.HttpResponse;impo

  • python使用urllib模块开发的多线程豆瓣小站mp3下载器

    复制代码 代码如下: #! /usr/bin/python2.7# -- coding:utf-8 -- import os, urllib,urllib2, thread,threadingimport re #匹配音乐urlreg=re.compile('{"name":"(.+?)".+?"rawUrl":"(.+?)",.+?}', re.I) class downloader(threading.Thread):  

  • php实现的css文件背景图片下载器代码

    本文实例讲述了php实现的css文件背景图片下载器代码.分享给大家供大家参考.具体实现方法如下: 下载css文件里面的背景图片是我们这些盗版份子长期搞的事情,下载个css图片下载器常出现各种广告弹窗,实在扛不住.这里就提供了一个php版的css文件背景图片下载器给大家. 把文件放到php程序目录 dos下面 php.exe cssImages.php 0 http://www.xxxx.com/css/style.css \images\ 先在php程序目录建个images文件夹,呵呵,贴代码:

  • 利用stream实现一个简单的http下载器

    其实这个http下载器的功能已经相当完善了,支持:限速.post投递和上传.自定义http header.设置user agent.设置range和超时 而且它还不单纯只能下载http,由于使用了stream,所以也支持其他协议,你也可以用它来进行文件之间的copy.纯tcp下载等等.. 完整demo请参考:https://github.com/waruqi/tbox/wiki stream.c /* ///////////////////////////////////////////////

  • Android编程开发实现多线程断点续传下载器实例

    本文实例讲述了Android编程开发实现多线程断点续传下载器.分享给大家供大家参考,具体如下: 使用多线程断点续传下载器在下载的时候多个线程并发可以占用服务器端更多资源,从而加快下载速度,在下载过程中记录每个线程已拷贝数据的数量,如果下载中断,比如无信号断线.电量不足等情况下,这就需要使用到断点续传功能,下次启动时从记录位置继续下载,可避免重复部分的下载.这里采用数据库来记录下载的进度. 效果图:   断点续传 1.断点续传需要在下载过程中记录每条线程的下载进度 2.每次下载开始之前先读取数据库

  • login.exe HGFS木马下载器的手动查杀方法

    样本信息:File: login.exe Size: 25428 bytes Modified: 2008年4月25日, 16:30:08 MD5: 9777E8C79312F2E3D175AA1F64B07C11 SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52E CRC32: 5A562203 1.病毒初始化:创建互斥量HGFSMUTEX,保证系统内只有一个实例在运行 2.释放如下文件或者副本 %systemroot%\system32\Autoru

  • Python制作CSDN免积分下载器

    CSDN免积分下载 你懂的. 1.输入资源地址如:http://download.csdn.net/download/gengqkun/4127808 2.输入验证码 3.点击下载,会弹出浏览器下载. 注:成功率在70-80% ,界面很丑,请将就着用. 复制代码 代码如下: #-*-coding:utf-8-*- #python3.3.5 import urllib.parse,urllib.request,http.cookiejar,io,webbrowser import tkinter

  • iOS开发实现下载器的基本功能(1)

    今天,做了一个下载器的Demo,即从本地配置的Apache服务器上,下载指定的文件.这次,我们下载服务器根目录下的html.mp4文件. 按照惯例,我们先创建一个URL对象和请求.  NSURL *url = [NSURL URLWithString:@"http://127.0.0.1/html.mp4"]; NSURLRequest *request = [NSURLRequest requestWithURL:url]; 这里有两点需要注意,第一,这个url的字符串是全英文的,如

  • 替换ctfmon.exe的下载器window.exe的方法

    病毒描述: 此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作 File: window.exe Size: 19380 bytes Modified: 2007年10月19日, 17:42:28 MD5: BDAA1AB926518C7D3C05B730C8B5872C SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A CRC32: BEC77526 1.病毒运行后,生

  • python爬虫中的url下载器用法详解

    前期的入库筛选工作已经由url管理器完成了,整理的工作自然要由url下载器接手.当我们需要爬取的数据已经去重后,下载器的主要任务的是这些数据下载下来.所以它的使用也并不复杂,不过需要借助到我们之前所学过的一个库进行操作,相信之前的基础大家都学的很牢固.下面小编就来为大家介绍url下载器及其使用的方法. 下载器的作用就是接受URL管理器传递给它的一个url,然后把该网页的内容下载下来.python自带有urllib和urllib2等库(这两个库在python3中合并为urllib),它们的作用就是

  • 木马下载器Win32.TrojDownloader.Delf.114688

    木马下载器Win32.TrojDownloader.Delf.114688病毒行为: 该病毒是一个木马下载者,会从网上下载其他病毒至客户的机器上并运行.病毒运行后生衍生一个DLL文件至系统目录中. 1.生成文件 %WinDir%\System32\Downdll.dll 2.修改注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections SavedLegacySetti

  • 木马下载器前仆后继,AOTU病毒群卷土重来(专杀4月15日升级到1.4版)

    以下是这两天极度猖獗的AUTO病毒最新变种的分析报告: 一.行为概述 该EXE是病毒下载器,它会: 1) 参考系统C盘卷序列号来算出服务名,EXE 和DLL 的文件名. 2) 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性. 3) 在系统system32 下放置自身副本"随机名.exe "和释放出来的"随机名.dll" 并将它们伪装成具有隐藏属性的系统文件. 4) 修改系统键值,将系统隐藏文件选项删除,造成用户

  • 伪AVP恶意木马下载器专杀工具下载

    "伪AVP恶意木马"是一个恶性下载器,通过网页挂马.第三方软件漏洞等手段进入用户电脑,在电脑中疯狂占用系统资源,导致运行速度异常缓慢,并下载Winsys ARP攻击工具来实施ARP攻击,当局域网机器浏览网络时就会造成中毒. 中了"伪AVP恶意木马"的用户能在C盘下看到一个ver.txt的木马下载器,该下载器会创建服务名为WinCom的服务,并大量下载网游盗号木马,严重威胁用户网络虚拟财产的安全. 在360安全中心的百科(http://baike.360.cn)和论坛

  • Python实现多线程HTTP下载器示例

    本文将介绍使用Python编写多线程HTTP下载器,并生成.exe可执行文件. 环境:windows/Linux + Python2.7.x 单线程 在介绍多线程之前首先介绍单线程.编写单线程的思路为: 1.解析url: 2.连接web服务器: 3.构造http请求包: 4.下载文件. 接下来通过代码进行说明. 解析url 通过用户输入url进行解析.如果解析的路径为空,则赋值为'/':如果端口号为空,则赋值为"80":下载文件的文件名可根据用户的意愿进行更改(输入'y'表示更改,输入

  • Python编写一个优美的下载器

    本文实例为大家分享了Python编写下载器的具体代码,供大家参考,具体内容如下 #!/bin/python3 # author: lidawei # create: 2016-07-11 # version: 1.0 # 功能说明: # 从指定的URL将文件取回本地 ##################################################### import http.client import os import threading import time impo

  • 用python制作个论文下载器(图形化界面)

    在科研学习的过程中,我们难免需要查询相关的文献资料,而想必很多小伙伴都知道SCI-HUB,此乃一大神器,它可以帮助我们搜索相关论文并下载其原文.可以说,SCI-HUB造福了众多科研人员,用起来也是"美滋滋". 在上一篇文章中介绍了分析过程以及相应的函数代码.根据小伙伴们的反映发现了一些问题,毕竟命令框的形式用起来难免没那么"丝滑".为了让大家更方便地使用,可以"纵享丝滑",kimol君决定写一个图形界面(GUI): PS.由于近期实属忙到晕厥,这

随机推荐