9月13日,反病毒中央监测到,两个恶意网站:
http://www.js******info.com
http://www.n***y.com
利用IE漏洞MS04-023种植CHM木马。木马程式是经过特别配置的键盘记录器(KeyLogger.PerfectKeyLogger.120),用户中招后,病毒将监控当前窗口的标题,假如标题包含“QQ”、“ICQ”、“MSN”、“银行”、“股票”、“上网卡”、“在线支付”等字眼,病毒会自动进行键盘记录。并定时把窃取的信息通过电子邮件发送出去。
具体技术特征如下:
1. 病毒运行后,将创建下列文档:
%SystemDir%/dllcache/pk.bin, 3680字节,病毒配置文档
%SystemDir%/dllcache/phantom.exe, 393216字节,病毒程式
%SystemDir%/dllcache/kw.dat, 803字节,病毒配置文档
%SystemDir%/dllcache/phantomhk.dll, 8704字节,病毒模块
%SystemDir%/dllcache/phantomi.dll, 215040字节,病毒模块
%SystemDir%/dllcache/phantomwb.dll, 40960字节,病毒模块
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"Phantom" = %SystemDir%/dllcache/phantom.exe
这样,在Windows启动时,病毒就能够自动执行。
3. 采用进程隐藏技术,在Windows 2000和XP等基于NT的系统上,病毒进程phantom.exe不会在“进程管理器”列表中出现,另中毒用户很难发觉。
4. 当前窗口标题包含下列字串时,病毒开始记录用户的键盘输入:
QQ ID ICQ MSN RMB FTP DNS VIP bank E-mail 会员 网易 空间 域名 邮箱
点卡 充值 转帐 汇款 美金 资金 亿唐 etang 8u8 163 网易 Yahoo 雅虎 Sohu 搜狐
商城 购物 管理 支付 股票 money 中国人 chinaren 上网卡 人民币 nease 发又发
Myrice 多来米 Hotmail 126.com yeah.net 163.com 3322.org meibu.com Serv-U CuteFTP
FlashFXP Outlook 文档上传 个人银行 商业银行 网上银行 国际银行 国际金融业务
银联支付网关 工商银行 牡丹信用卡 招商银行 个人网上银行 中国建设银行
交通银行网上银行 深圳发展银行 民生银行 华夏银行 上海银行 首都电子商城
中国在线支付网 IPAY网上支付中央 中国在线支付网商户 招商银行网上支付
Irc Shell hacker Trojan Exploits lcx 蓝屏 木马 黑洞 黑客 密蜂 神气儿 灰鸽子 小凤居
黑鹰基地 网络休闲庄 远程桌面连接 Beast Radmin
5. 定时通过电子邮件把窃取的信息发送出去。
现在,利用MS04-023漏洞的CHM木马十分猖獗,我们提醒广大用户,请立即下载安装微软的安全补丁程式MS04-023,并及时更新杀毒软件的病毒库,才能免受CHM木马病毒的侵害。
