替换ctfmon.exe的下载器window.exe的方法

 更新时间:2007年10月22日 11:04:17   作者:  
病毒描述:
  此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作

  File: window.exe

  Size: 19380 bytes

  Modified: 2007年10月19日, 17:42:28

  MD5: BDAA1AB926518C7D3C05B730C8B5872C

  SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A

  CRC32: BEC77526

  1.病毒运行后,生成以下文件:

%systemroot%\system32\ctfmon.exe.tmp 


  结束ctfmon.exe进程,之后启动

%systemroot%\system32\ctfmon.exe.tmp 


  2.修改注册表

  在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

  下面的PendingFileRenameOperations添加键值,使得重启之后把ctfmon.exe.tmp

  重命名为ctfmon.exe

  

  

  3.遍历非系统分区下面的

  php,jsp,asp,htm,html文件,在其后面加入 的代码

  4.通过netsh firewall add allowedprogram %systemroot%\system32\ctfmon.exe命令

  把%systemroot%\system32\ctfmon.exe加入到防火墙的允许列表中

  5.试图以下列密码连接局域网内其他用户电脑

      901100 
  mypass123 
  mypass 
  admin123 
  mypc123 
  mypc 
  love 
  pw123 
  Login 
  login 
  owner 
  home 
  zxcv 
  yxcv 
  qwer 
  asdf 
  temp123 
  temp 
  test123 
  test 
  fuck 
  fuckyou 
  root 
  ator 
  administrator 
  patrick 
  123abc 
  1234qwer 
  123123 
  121212 
  111111 
  alpha 
  2600 
  2003 
  2002 
  enable 
  godblessyou 
  ihavenopass 
  123asd 
  super 
  computer 
  server 
  123qwe 
  sybase 
  abc123 
  abcd 
  database 
  passwd 
  pass 
  88888888 
  11111111 
  000000 
  54321 
  654321 
  123456789 
  1234567 
  qq520 
  5201314 
  admin 
  12345 
  12345678 
  mein 
  letmein 
  2112 
  baseball 
  qwerty 
  7777 
  5150 
  fish 
  1313 
  shadow 
  1111 
  mustang 
  pussy 
  golf 
  123456 
  harley 
  6969 
  password 
  1234 


  6.连接网络下载木马

  下载http://60.190.*/elf_listo.txt到%systemroot%\system32下面

  里面是木马下载列表

  下载http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盘根目录下面

  下载的木马均为盗号木马,可以盗取如下游戏的帐号密码(不限于)

      奇迹世界 
  魔兽世界 
  QQ 
  天龙八部 
  问道 
  传奇世界  ... 

  其中一个传奇世界木马里面还有如下字样   

  木马植入完毕后的sreng日志如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

相关文章

最新评论