I-Worm/Nibu.g經FSG壓縮過,試圖通過記錄鍵擊信息盜取銀行帳號及密碼,並允許黑客遠程訪問感染的計算機。
基本介紹
基本信息,傳播過程,
基本信息
I-Worm/Nibu.g
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程
1.複製自身為:
%System%\Swchost.exe
%System%\Svohost.exe
%Startup%\Svchost.exe
生成檔案:
%Windir%\Rundlln.sys
%Windir%\Prntsvr.dll
%Windir%\Temp\feff35a0.htm
%Windir%\Temp\fe43e701.htm
%Windir%\Temp\fa4537ef.tmp
2.修改註冊表:
/添加鍵值:"load32"="%System%\swchost.exe"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/Windows NT/2000/XP
修改註冊表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
下的鍵值:"Shell"="Explorer.exe" 改為:"Shell"="explorer.exe %System%\svohost.exe"
/Windows 95/98/Me
修改%Windir%\System.ini檔案
將值"Shell"="Explorer.exe" 改為:"Shell"="explorer.exe %System%\svohost.exe"
3.生成一個.dll檔案用來獲取鍵擊記錄,常用的檔案名稱為:%Windir%Pmtsvr.dll
4.觀察視窗標題欄,一旦發現有字元串,便開始記錄在此視窗的所有鍵擊並保存到%Windir%\Prmtk.log檔案中,在此檔案中還會包含一些感染的計算機的系統信息。此外還開啟一個執行緒監控剪下板,並將監測到的數據保存到%Windir%\Prntc.log。
5.周期性的檢查.log檔案的長度,一旦發現到達一定的長度便利用內置的SMTP引擎傳送給黑客。
6.監聽TCP連線埠1001和10000,在此接收遠程指令。
7.將盜取的信息寫入%Windir%\TEMP\feff35a0.htm 和 %Windir%\TEMP\fa4537ef.tmp 。
8.修改hosts(%System%\Drivers\etc\hosts)檔案,導致用戶不能訪問一些站點。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
