TrojanSpy.Qukart.a

TrojanSpy.Qukart.a

病毒长度：46,592 字节 6,657 字节

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

TrojanSpy.Qukart.a是盗取银行密码的木马，通过一个假冒的网页来骗取用户输入，从而盗取密码,帐户等用户的信息。

传播过程及特征：

1.生成文件：

%SystemDir%aaladg32.dll, 6657字节

%SystemDir%efleabgn.exe, 46592字节

2.修改注册表：

/添加键值：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]

"Web Event Logger" = {79feacff-ffce-815e-a900-316290b5b738}

[HKEY_CLASSES_ROOTCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32]

"(Default)" = "aaladg32.dll"

"ThreadingModel" = "Apartment"

[HKEY_CURRENT_USERSoftwareMicrosoft]

"QueenKarton" = 0xb

[HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowseNewProcess]

"BrowseNewProcess" = "yes"

/修改键值：

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones1]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones2]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones3]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones4]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settingsones5]

"1601" = "0"

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]

"GlobalUserOffline" = "0"

3.生成多个%Temp%<8个任意字符>.htm，并在IE中打开，导致访问特定的URL。

4.从感染的计算机上收集密码并从一些打开的IE界面中途截取信息。

5.在系统目录下生成文件保存密码信息和下载的数据，文件名为：

dnkkq.dll

kkq32.vxd

kkq32.dll

Rtdx1.dat

并将密码信息传送给攻击者，通过HTTP发送query string的方式，此外下载下来的数据将被上传到特定的站点。

• ·华硕P5LD2-VMSE
• ·罗锡璋
• ·TrojanClicker.Ipons
• ·合囊蕨
• ·纪庆革
• ·鸡子
• ·余阳
• ·Trojan/QQMsg.Chujc.c
• ·分布函数
• ·I-Worm/Supkp.ac