Win32.Hack.Dumador.cx

病毒别名：

处理时间：2005-08-14

威胁级别：★

中文名称：

病毒类型：黑客程序

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个后门病毒。病毒运行后，会监控clipboard、键盘，搜索FTP工具软件的配置

文件，获取用户IP、密码等信息。并利用自带的smtp引擎将记录的信息发送到指定的

信箱。

1. 病毒通过建立名为“Stamm-804”的全局原子体，以保证只有一个病毒体在运行。

2. 释放大小为4096字节的动态链接文件winsms.dll到%WinDir%目录下，并调用其中

的函数隐藏进程。

3. 将自身拷贝到%System%目录下，命名为winldra.exe，并修改注册表建立启动项，

从而达到开机自启的目的：

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

"load32" = "%System%winldra.exe"

4. 病毒体还会添加如下注册表项，记录病毒的各种操作：

[HKCUSoftwareSARS]

5. 在%WinDir%目录下生成netdx.dat文件，存储加密的字符集；

6. 修改hosts文件，屏蔽著名安全站点，包括：

127.0.0.1 www.trendmicro.com

127.0.0.1 trendmicro.com

127.0.0.1 rads.mcafee.com

127.0.0.1 customer.symantec.com

等。

7. 建立线程，监控clipboard的内容，将clipboard的内容记录在%WinDir%prntc.log

文件中。

8. 建立线程，监控键盘，如果当前窗口标题包含有以下敏感文字，则将键盘键入的内容

记录在%WinDir%\prntk.log文件中：

"Bank"

"PayPal"

"ebay"

"Casino"

等。

9. 搜索FTP工具软件（如totalcmd）的配置文件，获取用户IP、密码等信息，并存储在

%Temp%fe*.htm文件中。

10. 利用自带的smtp引擎将记录的信息发送到指定的信箱。

11. 监听TCP 9125端口，等待远程控制指令。