Backdoor.PowerSpider.a

编辑:灭亡网互动百科 时间:2020-01-22 18:20:41
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Backdoor.PowerSpider.a (密码解霸服务端) 可以捕获 Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录密码(如: 如 : OICQ , ICQ , Outlook ,上网账号 , 软件注册码、各种游戏软件 , 各种财务软件 , 各种管理软件 , 拨号上网 , 共享目录等 ), 另外还可捕获具有加密功能的游戏密码(如:传奇、奇迹、千年、红月、边锋)等敏感信息。将捕获的密码保存并发送到配置在服务端内的指定信箱中,客户端还具有在线升级功能是一种危险性较高的木马。
中文名
密码解霸
外文名
Backdoor.PowerSpider
病毒类型
后门
危害等级

Backdoor.PowerSpider.a危害等级病毒名称

编辑
Backdoor.PowerSpider.a

Backdoor.PowerSpider.a病毒描述

编辑
Backdoor.PowerSpider.a (密码解霸服务端) 可以捕获 Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录密码(如: 如 : OICQ , ICQ , Outlook ,上网账号 , 软件注册码、各种游戏软件 , 各种财务软件 , 各种管理软件 , 拨号上网 , 共享目录等 ), 另外还可捕获具有加密功能的游戏密码(如:传奇、奇迹、千年、红月、边锋)等敏感信息。将捕获的密码保存并发送到配置在服务端内的指定信箱中,客户端还具有在线升级功能是一种危险性较高的木马。 服务段运行后会连接网络,到 http://eu.2288.org/ 下载 eu.exe 到本地运行。该地址( http://eu.2288.org/ )现以不存在。

Backdoor.PowerSpider.a危害等级

文件长度: 139,264 字节
感染系统: Windows 9x以上的所有版本
编写语言: Visual C++ 6.0

Backdoor.PowerSpider.a行为分析

1 、 运行该木马后,在 %\WINDOWS\system32\ 下生成 iexplore .exe 和 mspbhook.dll 两个文件,系统启动 300 毫秒后加入 C:\WINDOWS\system32\IEXPLORE .EXE 到启动项。
2 、 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\mssysint
字串 : "IEXPLORE .EXE" 将自身加入服务。
3 、 增加注册表键 HKEY_CLASSES_ROOT\ZDns 和 HKEY_CLASSES_ROOT\ZPwd_box 。
4 、 修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box\tmUpgrade_p , 用来升级。
? 盗取网络游戏客户端密码, Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录
码,及各种在网页的登录密码登陆时的账户及密码。
6 、 加载 mpr.dll ,调用函数 " WNetEnum Cached Passwords " ,获取本地使用的密码,包括 : moden,URL , 共享密码及其他类型的密码。
7 、 扫描系统进程,包括 system , smss , csrss , winlogon , services , lsass , svchost , spoolsv , explorer , rundll32 , assistse , c tfmon , wscntfy , alg , TIMPlatform , wscntfy , alg,Idle 及密码解霸生成的 IEXPLOER .EXE 同 sniff , netxray , dasm , iris , softice , trw 进行比较,若存在上述进程便将其结束。
词条标签:
通信技术 计算机学 科技产品 病毒 互联网产品