Trojan/Startpage.am
Trojan/Startpage.am
Trojan/Startpage.am是一个记录键盘操作的木马程序,包含在一个垃圾邮件的附件中且可以伴随一个代理服务程序。
木马运行后,有如下操作:
1.在Windows的安装目录下生成如下文件:
MSTO32.DLL
SVCHOST.EXE
SYSINI.INI(该文件不包含有害代码)
2.在系统目录下生成SVCHOSTC.EXE和SVCHOSTS.EXE
3.在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加
"Online Service"="%Windir%svchost.exe..."键值。
4.将注册表HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain中的 Start Page 键设置为下列网站之一(即修改IE浏览器的初始页):
strawberries.teenfestival.com?alla.html
realgirltgp.virgin-paradize.com/warn.html
strawberries.teensfestival.com/search2.html
5.开放10002端口。
6.设法从下列网站下载木马的升级文件:
82.196.73.2
beta.softdevelops.com
www.gggggiiiiiiiiiiiiiiiiiiiiiiggggjjjjjjjjjjjj.com
www.gggggmmmmmmggggjjjjjjjjjjjj.com
www.ggggggggkkkkkkkgjjjjjjjjjjjj.com
如果成功的话,它会将Surte.exe文件保存到系统目录下并执行。
7.木马可以记录键盘操作,然后将盗取来的信息通过SMTP发送给攻击者,也可以将其发送到固定的FTP网站。