Worm/Nibu.g

王朝百科·作者佚名 2010-01-30

宽屏版字体: 小|中|大|超大

I-Worm/Nibu.g

病毒长度：21,088 字节

病毒类型：网络蠕虫

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Nibu.g经FSG压缩过，试图通过记录键击信息盗取银行帐号及密码，并允许黑客远程访问感染的计算机。

传播过程及特征：

1.复制自身为：

%System%Swchost.exe

%System%Svohost.exe

%Startup%Svchost.exe

生成文件：

%Windir%Rundlln.sys

%Windir%Prntsvr.dll

%Windir%Tempfeff35a0.htm

%Windir%Tempfe43e701.htm

%Windir%Tempfa4537ef.tmp

2.修改注册表：

/添加键值："load32"="%System%swchost.exe"

到注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

/Windows NT/2000/XP

修改注册表：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon

下的键值："Shell"="Explorer.exe" 改为："Shell"="explorer.exe %System%svohost.exe"

/Windows 95/98/Me

修改%Windir%System.ini文件

将值"Shell"="Explorer.exe" 改为："Shell"="explorer.exe %System%svohost.exe"

3.生成一个.dll文件用来获取键击记录，常用的文件名为：%Windir%Pmtsvr.dll

4.观察窗口标题栏，一旦发现有字符串"http:/ /www.whatpornsite.com/css/logger.php",便开始记录在此窗口的所有键击并保存到%Windir%Prmtk.log文件中，在此文件中还会包含一些感染的计算机的系统信息。此外还开启一个线程监控剪切板，并将监测到的数据保存到%Windir%Prntc.log。

5.周期性的检查.log文件的长度，一旦发现到达一定的长度便利用内置的SMTP引擎发送给黑客。

6.监听TCP端口1001和10000，在此接收远程指令。

7.将盗取的信息写入%Windir%TEMPfeff35a0.htm 和 %Windir%TEMPfa4537ef.tmp 。

8.修改hosts(%System%Driversetchosts)文件,导致用户不能访问一些站点。

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。

点击展开全文

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

如何用java替换看不见的字符比如零宽空格十六进制U+200B
干货 2023-09-10

网页字号不能单数吗，网页字体大小为什么一般都是偶数
干货 2023-09-06