Worm/Nibu.g

I-Worm/Nibu.g

病毒长度：21,088 字节

病毒类型：网络蠕虫

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Nibu.g经FSG压缩过，试图通过记录键击信息盗取银行帐号及密码，并允许黑客远程访问感染的计算机。

传播过程及特征：

1.复制自身为：

%System%Swchost.exe

%System%Svohost.exe

%Startup%Svchost.exe

生成文件：

%Windir%Rundlln.sys

%Windir%Prntsvr.dll

%Windir%Tempfeff35a0.htm

%Windir%Tempfe43e701.htm

%Windir%Tempfa4537ef.tmp

2.修改注册表：

/添加键值："load32"="%System%swchost.exe"

到注册表：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

/Windows NT/2000/XP

修改注册表：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon

下的键值："Shell"="Explorer.exe" 改为："Shell"="explorer.exe %System%svohost.exe"

/Windows 95/98/Me

修改%Windir%System.ini文件

将值"Shell"="Explorer.exe" 改为："Shell"="explorer.exe %System%svohost.exe"

3.生成一个.dll文件用来获取键击记录，常用的文件名为：%Windir%Pmtsvr.dll

4.观察窗口标题栏，一旦发现有字符串"http:/ /www.whatpornsite.com/css/logger.php",便开始记录在此窗口的所有键击并保存到%Windir%Prmtk.log文件中，在此文件中还会包含一些感染的计算机的系统信息。此外还开启一个线程监控剪切板，并将监测到的数据保存到%Windir%Prntc.log。

5.周期性的检查.log文件的长度，一旦发现到达一定的长度便利用内置的SMTP引擎发送给黑客。

6.监听TCP端口1001和10000，在此接收远程指令。

7.将盗取的信息写入%Windir%TEMPfeff35a0.htm 和 %Windir%TEMPfa4537ef.tmp 。

8.修改hosts(%System%Driversetchosts)文件,导致用户不能访问一些站点。

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。