Worm.Troj.Ciadoor.12
病毒别名:Backdoor.Win32.Ciadoor.122.d[AVP]
处理时间:
威胁级别:★★
中文名称:间谍之门
病毒类型:蠕虫
影响系统:Win9x / WinNT
病毒行为:
这是一个集多种盗取手段于一身的后门病毒。该病毒文件图标为图片文件图标,诱骗用户运行。一旦用户运行之后,该病毒将自己复制到系统目录,改成于系统进程极其相似的文件名,迷惑用户。值得一提的是,该病毒的优先级别是实时。它修改注册表使自己能开机运行。然后打开后门,并将用户的系统信息,例如本机IP地址、监听端口、用户名、连接密码等发送的指定地方,等待外界连接。木马种植者获取这些信息之后就可以连接到中了该病毒的用户电脑,几乎可以完全控制该用户的电脑:进行各种文件操作,查看或者关闭进程,控制窗口,获取视频、音频,记录键盘消息,盗取缓存中的密码,关闭系统,更改电脑的各种设置,查看浏览器历史记录,盗取剪贴板信息,盗取系统信息;它还盗取各种密码,包括游戏和软件的CDKEY以及序列号。
1.在WinNT系统将自己复制为%System32%WinIogon.exe,并且释放文件%System32%\%System32%ckl009.dat,病毒进程优先级为实时;在Win9X系统将自己复制为%SystemRoot%WinIogon.exe,
2.修改注册表:
添加表项(WinNT):
"Windows Logon"="%System32%WinIogon.exe"
到下面的一项或者几项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWindowsRun
修改表项:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
"run"="WinIogon.exe"
"load"="WinIogon.exe"
修改表项(WinNT):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionwinlogon
"shell"="Explorer.exe WinIogon.exe"
添加表项(Win9X):
"Windows Logon"="%SystemRoot%WinIogon.exe"
到下面的一项或者几项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionwinlogon
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWindowsRun
3.在Win9X系统,修改Win.ini和System.ini文件:
Win.ini
[windows]
load="C:WINDOWSWinIogon.exe"
run="C:WINDOWSWinIogon.exe"
System.ini
[boot]
shell=Explorer.exe C:WINDOWSWinIogon.exe
4.使用ICQ邮件或者CGI脚本发送给木马种植者本机系统信息,例如I本机P地址、监听端口、用户名、服务器版本、服务器密码等等。
5.开放TCP端口6333供外界木马种植者连接并控制本机(默认开放TCP端口5888、6888)。控制端可以对本机做以下操作:
复制、移动、删除以及执行文件;
查看或者关闭进程;
控制窗口;
抓取屏幕
抓取音频;
记录键盘消息;
控制网络摄像机并抓取图片;
盗取缓存中的密码;
上传下载文件;
关闭系统
控制电脑:打开关闭CD-ROM,改变键盘设置,隐藏/显示桌面,隐藏/显示任务栏,改变屏幕分辨率,控制鼠标等等;
查看浏览器历史记录;
盗取剪贴板信息;
盗取系统信息;
创建并运行批处理文件;
盗取系统文件;
运行DOS密码;
弹出假冒的MSN登陆用户窗口盗取MSN帐号和密码;
6.盗取游戏和软件的CDKEY以及序列号:
Counter-Strike
Half-Life
C&C Generals
Gunman Chronicles
Adobe Photoshop 6.0
IGI 2 - Covert Strike
Industry Giant 2
James Bond 007 - Nightfire
Medal Of Honor: Allied Assault
Medal Of Honor: Allied Assault - Spearhead
Need For Speed: Hot Pursuit 2
Shogun: Total War - Warlord Edition
Operation Flashpoint
Soldiers Of Anarchy
Unreal Tournament 2003
FIFA 2003
Red Alert 2
Red Alert Tiberian Sun
Operation Flashpoint Resistance
Sim City 4
US Special Forces: Team Factor
Adobe Photoshop 7.0
Adobe Illustrator 10.0
MIRC
Micro DVD Player
Adobe Photoshop Plugin Eye Candy 4.0
Adobe Photoshop Plugin Xenofex 1.0
Borland C++ Builder 6 Key
Borland C++ Builder 6 Licence
Delphi 6 Key
Delphi 6
Delphi 7
Macromedia Dreamweaver MX
Macromedia Flash MX
Macromedia Flash 5
Macromedia Freehand 10
Macromedia Fireworks MX