CHM木马技术分析报告 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → CHM木马技术分析报告

CHM木马技术分析报告 时间：2004/10/15 0:26:00来源：本站整理作者：蓝点我要评论(0):     9月13日，反病毒中心监测到，两个恶意网站：

    http://www.js******info.com

    http://www.n***y.com

    利用IE漏洞MS04-023种植CHM木马。木马程序是经过特殊配置的键盘记录器（KeyLogger.PerfectKeyLogger.120），用户中招后，病毒将监视当前窗口的标题，如果标题包含“QQ”、“ICQ”、“MSN”、“银行”、“股票”、“上网卡”、“在线支付”等字眼，病毒会自动进行键盘记录。并定时把窃取的信息通过电子邮件发送出去。

    具体技术特征如下：

    1. 病毒运行后，将创建下列文件：

    %SystemDir%\dllcache\pk.bin, 3680字节，病毒配置文件

    %SystemDir%\dllcache\phantom.exe, 393216字节，病毒程序

    %SystemDir%\dllcache\kw.dat, 803字节，病毒配置文件

    %SystemDir%\dllcache\phantomhk.dll, 8704字节，病毒模块

    %SystemDir%\dllcache\phantomi.dll, 215040字节，病毒模块

    %SystemDir%\dllcache\phantomwb.dll, 40960字节，病毒模块

    2. 在注册表中添加下列启动项：

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe

    这样，在Windows启动时，病毒就可以自动执行。

    3. 采用进程隐藏技术，在Windows 2000和XP等基于NT的系统上，病毒进程phantom.exe不会在“进程管理器”列表中出现，另中毒用户很难发觉。

    4. 当前窗口标题包含下列字串时，病毒开始记录用户的键盘输入：

    QQ ID ICQ MSN RMB FTP DNS VIP bank E-mail 会员网易空间域名邮箱

    点卡充值转帐汇款美金资金亿唐 etang 8u8 163 网易 Yahoo 雅虎 Sohu 搜狐

    商城购物管理支付股票 money 中国人 chinaren 上网卡人民币 nease 发又发

    Myrice 多来米 Hotmail 126.com yeah.net 163.com 3322.org meibu.com Serv-U CuteFTP

    FlashFXP Outlook 文件上传个人银行商业银行网上银行国际银行国际金融业务

    银联支付网关工商银行牡丹信用卡招商银行个人网上银行中国建设银行

    交通银行网上银行深圳发展银行民生银行华夏银行上海银行首都电子商城

    中国在线支付网 IPAY网上支付中心中国在线支付网商户招商银行网上支付

    Irc Shell hacker Trojan Exploits lcx 蓝屏木马黑洞黑客密蜂神气儿灰鸽子小凤居

    黑鹰基地网络休闲庄远程桌面连接 Beast Radmin

    5. 定时通过电子邮件把窃取的信息发送出去。

    目前，利用MS04-023漏洞的CHM木马十分猖獗，我们提醒广大用户，请立刻下载安装微软的安全补丁程序MS04-023，并及时更新杀毒软件的病毒库，才能免受CHM木马病毒的侵害。

文章评论

查看所有0条评论>>

热门文章 设置高强度密码技巧之