PWSteal.Metafisher

標籤: 暫無標籤

4

更新時間: 2013-12-04

廣告

類別:木馬病毒
病毒資料:該病毒感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系統,它利用微軟WMF漏洞(參見:微軟安全公告 MS06-001)下載遠程執行文件,並收集染毒計算機中的銀行卡和個人信息發送到遠程伺服器,木馬通過郵件傳播,標題為 Its order #76453 to total of 739,00$ was accepted 或 Su orden #F8A2198CD8E a total de 576.00$ fue acceptado 。當預覽到這些郵件時,瀏覽器訪問網址 advanced-customers-online.com 和 frandenburg-online.com,其中包含 XPL.WMF 文件,如果系統沒有進行相關安全更新,就會下載執行文件 1.exe, 感染此病毒:
    
    A 修改註冊表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    SharedAccess\Parameters\FirewallPolicy\StandardProfile\
    AuthorizedApplications\List
    添加
    "(Default)" = ":*:MCAFEE_SIGNATURE_HERE_LOL"
    "%ProgramFiles%\Internet Explorer\IEXPLORE.EXE" = "%ProgramFiles%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"
    使得病毒可以通過 Windows 防火牆
    B 下載執行文件installer.exe
    C 增加註冊表項
    "next_install" = "420ca762"
    "compid" = "[RANDOM_ID]"到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Control Panel\load
    D 增加註冊表項
    "Enable Browser Extensions" = "yes"到 HKEY_CURRENT_USER\Software\Microsoft
    \Internet Explorer\Main
    E 創建註冊表鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Control Panel\load\httpreport
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel
    \load\waspopup
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel
    \load\formwas
    HKEY_LOCAL_MACHINE\SOFTRWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\{78364D99-A640-4DDF-B91A-67EFF8373045}
    F 創建文件msnscps.dll到系統目錄,並註冊為瀏覽器幫助對象
    G 創建文件form.txt info.txt shot.html到系統目錄,用來保存收集到的信息
    H 收集以下信息
    主機名和IP地址
    Outlook賬號
    SMTP和POP3伺服器 IE自動完成填寫的口令
    MSN賬號口令
    Windows賬號口令
    URL訪問情況
    HTTP POST 請求內容
    HTTP FORM 內容
    I 病毒會產生一個錯誤(圖1) 
     

廣告

PWSteal.MetafisherPWSteal.Metafisher

   

 

 

 

 

 

     J 創建文件C:\1.bat刪除以下內容
    C盤根目錄下所有文件
    程序目錄下所有文件
    系統目錄下所有文件
    K 連接地址european-business-organization.com/[已刪除]/chat.php
    L 將收集到的信息通過Http和FTP協議發送給黑客
 
病毒FAQ:
Windows下的PE病毒

發現日期:2006-2-20

參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5112

廣告

廣告