病毒描述：
　　此病毒利用替換輸入法輸入程序的方法偽裝自身，從而可以利用原先已有的ctfmon啟動(dòng)項(xiàng)目啟動(dòng)自身，并進(jìn)行下載木馬和感染htm文件等操作

　　File: window.exe

　　Size: 19380 bytes

　　Modified: 2007年10月19日, 17:42:28

　　MD5: BDAA1AB926518C7D3C05B730C8B5872C

　　SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A

　　CRC32: BEC77526

　　1.病毒運(yùn)行后，生成以下文件：

%systemroot%\system32\ctfmon.exe.tmp 


　　結(jié)束ctfmon.exe進(jìn)程，之后啟動(dòng)

%systemroot%\system32\ctfmon.exe.tmp 


　　2.修改注冊表

　　在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

　　下面的PendingFileRenameOperations添加鍵值，使得重啟之后把ctfmon.exe.tmp

　　重命名為ctfmon.exe

　　

　　

　　3.遍歷非系統(tǒng)分區(qū)下面的

　　php,jsp,asp,htm,html文件，在其后面加入 的代碼

　　4.通過netsh firewall add allowedprogram %systemroot%\system32\ctfmon.exe命令

　　把%systemroot%\system32\ctfmon.exe加入到防火墻的允許列表中

　　5.試圖以下列密碼連接局域網(wǎng)內(nèi)其他用戶電腦

      901100 
　　mypass123 
　　mypass 
　　admin123 
　　mypc123 
　　mypc 
　　love 
　　pw123 
　　Login 
　　login 
　　owner 
　　home 
　　zxcv 
　　yxcv 
　　qwer 
　　asdf 
　　temp123 
　　temp 
　　test123 
　　test 
　　fuck 
　　fuckyou 
　　root 
　　ator 
　　administrator 
　　patrick 
　　123abc 
　　1234qwer 
　　123123 
　　121212 
　　111111 
　　alpha 
　　2600 
　　2003 
　　2002 
　　enable 
　　godblessyou 
　　ihavenopass 
　　123asd 
　　super 
　　computer 
　　server 
　　123qwe 
　　sybase 
　　abc123 
　　abcd 
　　database 
　　passwd 
　　pass 
　　88888888 
　　11111111 
　　000000 
　　54321 
　　654321 
　　123456789 
　　1234567 
　　qq520 
　　5201314 
　　admin 
　　12345 
　　12345678 
　　mein 
　　letmein 
　　2112 
　　baseball 
　　qwerty 
　　7777 
　　5150 
　　fish 
　　1313 
　　shadow 
　　1111 
　　mustang 
　　pussy 
　　golf 
　　123456 
　　harley 
　　6969 
　　password 
　　1234 


　　6.連接網(wǎng)絡(luò)下載木馬

　　下載http://60.190.*/elf_listo.txt到%systemroot%\system32下面

　　里面是木馬下載列表

　　下載http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盤根目錄下面

　　下載的木馬均為盜號木馬，可以盜取如下游戲的帳號密碼(不限于)

      奇跡世界 
　　魔獸世界 
　　QQ 
　　天龍八部 
　　問道 
　　傳奇世界  ... 

　　其中一個(gè)傳奇世界木馬里面還有如下字樣 　　

　　木馬植入完畢后的sreng日志如下：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

最新評論