Trojan/PSW.MiFeng
病毒名称:Trojan/PSW.MiFeng.70
病毒大小:859,136
传播方式:网络传播
压缩方式:aspack
软件类型:木马
危害程度:**
该病毒名为“蜜蜂大盗”,7.0版本。有强大的信息窃取、远程监控功能。病毒具有窃取几乎所有的密码,自动打开染毒者的摄像头,进行远程监控、远程摄像、遥控QQ、中止防火墙等五种危害。该病毒自身为合成文件,运行木马程序后,进程优先级较高不能正常手工清除,用户用KV杀毒软件直接清除。
感染过程:
1.利用“蜜蜂大盗”生成木马程序运行。
2.病毒运行后将创建下列文件(Trojan.exe为生成木马程序),并且修改默认的屏幕保护程序,使病毒每隔一段时间自动运行。
%SystemDir%Trojan.exe, 829316字节,木马本身
%SystemDir%三维管道.scr, 829316字节
%SystemDir%三维变形物.scr, 829316字节
%SystemDir%飞行 windows.scr, 829316字节
%SystemDir%三维飞行物.scr, 829316字节
%SystemDir%三维迷宫.scr, 829316字节
%SystemDir%三维文字.scr, 829316字节
%WinDir%isuninst.exe, 829316字节
%WinDir%isun0804.exe, 829316字节
%WinDir%isun0404.exe, 829316字节
并在SYSTEM.INI中添加:
scrnsave.exe=c:windowssystem三维文字.scr
3.病毒通过修改下列注册表键值,修改文件关联:
[HKEY_CLASSES_ROOTxtfileshellopencommand]
"" = "c:windowssystemTrojan.exe" "%1"
这样,用户打开任何txt文件,都会再次运行病毒程序。
病毒具体危害如下:
1.窃取密码
该病毒窃取几乎所有的密码及相关信息,包括:QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、传奇、佣兵传说等(包含帐号、区等相关信息);网页上的信息,如:邮箱、论坛、密保等(含用户名、密码等相关信息),甚至是打在图片上的密码。病毒记录键盘及鼠标动作,无论用户以何种方式输入密码(如:从某处粘贴、输入一部分然后粘贴一部分、在号码前加0、先故意输入错误密码然后删除错误部分等),病毒都会截到,并只盗取最后一次输入且正确的密码。病毒还自带过滤程序,智能识别所盗密码是否完整(如半截密码,重复密码),使得盗取密码准确率更高。
2. 远程监控
该病毒有远程监控的功能,类似于国产冰河、灰鸽子等黑客控制软件。该功能可以使黑客监控感染病毒的计算机,在不经任何授权的情况下,非法观看远程桌面、远控鼠标、键盘,以及所有资源/文件,并可以控制上传下载。该病毒支持公网控制公网,内网控制内网,内网控制公网,公网控制内网,对家庭用户和网吧用户威胁巨大。
3. 远程摄像
该病毒具有远程摄像功能。带摄像头的计算机被感染后,不知不觉中用户被黑客偷窥。
4. 远控QQ和QQ尾巴
该病毒利用QQ漏洞,会迫使染毒计算机QQ关闭,迫使重新登陆,间隙之中盗取QQ密码。病毒还会监控QQ聊天窗口,发送恶意信息、网站等。
5.强行关闭防火墙
该病毒自动检测感染计算机是否安装防火墙(病毒防火墙、邮件防火墙、防黑墙)一旦发现强行结束,使直无法检测到黑客的链接操控。
6.自动下载运行
该病毒生成xxx.bmp和xxx.htm两个文件,如果将这两个文件上传到个人主页空间(动、静态空间均可),当访问xxx.htm,会利用IE漏洞自动下载木马病毒(IE不会有任何提示)并运行。
7.获取IP地址
病毒在窃取的信息中,包括IP地址及其对应的真实物理地址。黑客可以利用泄露的IP地址进行攻击。
8.图标伪装
该病毒可以定制木马的图标,在很大程度上欺骗诱导用户运行。
天极网 6月25日消息 6月24日,江民快速反病毒中心率先截获“蜜蜂大盗”病毒。该病毒有强大的信息窃取、远程监控功能。病毒可以窃取几乎所有类型的密码,自动打开染毒者的摄像头,进行远程监控、远程摄像、遥控QQ,并可中止防火墙,可谓“五毒”俱全。该病毒自身为合成文件,运行木马程序后,病毒将自身进程设为较高优先级,用户不能正常手工清除。反病毒专家怀疑前不久在南宁发生的偷拍网友裸照事件与此病毒有关。
病毒运后后,修改默认的屏幕保护程序,每隔一段时间自动运行。通过修改下列注册表键值,修改文件关联使用户打开任何txt文本文件,都会再次运行病毒程序。
该病毒窃取几乎所有的密码及相关信息,包括:QQ、ICQ、雅虎通、Vicq、OutLook、FlashFXP、传奇、佣兵传说等(包含帐号、区等相关信息);网页上的信息,如:邮箱、论坛、密保等(含用户名、密码等相关信息),甚至是打在图片上的密码。病毒记录键盘及鼠标动作,无论用户以何种方式输入密码(如:从某处粘贴、输入一部分然后粘贴一部分、在号码前加0、先故意输入错误密码然后删除错误部分等),病毒都会截到,并只盗取最后一次输入且正确的密码。病毒还自带过滤程序,智能识别所盗密码是否完整(如半截密码,重复密码),使得盗取密码准确率更高。
该病毒有远程监控的功能,类似于国产冰河、灰鸽子等黑客控制软件。该功能可以使黑客监控感染病毒的计算机,在不经任何授权的情况下,非法观看远程桌面、远控鼠标、键盘,以及所有资源/文件,并可以控制上传下载。该病毒支持公网控制公网,内网控制内网,内网控制公网,公网控制内网,对家庭用户和网吧用户威胁巨大。
病毒还具有远程摄像功能。带摄像头的计算机被感染后,不知不觉中用户被黑客偷窥,黑客可以远程摄下中毒者的所有动作。
该病毒利用QQ漏洞,会迫使染毒计算机QQ关闭,迫使重新登陆,间隙之中盗取QQ密码。病毒还会监控QQ聊天窗口,发送恶意信息、网站等。自动检测感染计算机是否安装防火墙(病毒防火墙、邮件防火墙、防黑墙)一旦发现强行结束,使其无法检测到黑客的链接操控。
病毒会生成xxx.bmp和xxx.htm两个文件,如果将这两个文件上传到个人主页空间(动、静态空间均可),当访问xxx.htm,会利用IE漏洞自动下载木马病毒(IE不会有任何提示)并运行。
在病毒窃取的信息中,包括IP地址及其对应的真实物理地址。黑客可以利用泄露的IP地址进行远程攻击。
该病毒还可以定制木马的图标,在很大程度上欺骗诱导用户运行。