王朝百科
分享
 
 
 

特洛伊病毒Win32.TalpalkFamily

王朝百科·作者佚名  2010-02-16  
宽屏版  字体: |||超大  

病毒名称:特洛伊病毒Win32.Talpalk Family

其它名称:PWS-Banker.gen.i (McAfee) , Infostealer (Symantec), Win32/Talpalk!generic, Trojan-Spy.Win32.Delf.iu (Kaspersky), Backdoor:Win32/Hupigon!1452 (MS OneCare)

病毒属性:特洛伊木马 危害性:中等危害 流行程度:

具体介绍:

病毒特性:

Win32/Talpalk是一族盗窃敏感信息的特洛伊病毒。

感染方式:

运行时,Talpalk复制到%Windows%目录,不同的变体使用的文件名不同,有些变体使用以下文件名:

FILENAME.EXE

MAYA.EXE

testy.exe

rundll23.exe

Talpalk会修改注册表,以确保在每次系统启动时运行病毒,例如:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Maya = "%Windows%maya.exe"

Talpalk还可能修改以下注册表:

HKLMSOFTWAREMicrosoftWindowswinkthink =

"SOFTWAREMicrosoftWindowsCurrentVersionRun"

HKLMSOFTWAREMicrosoftWindowsyobitch = "Maya"

HKLMSOFTWAREMicrosoftActive SetupInstalled Components

MayaStubPath = "%Windows%maya.exe"

Talpalk变体还会在%Windows%目录生成一个DLL文件。

注:'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。

危害:

修改系统设置

Talpalk通过修改注册表改变很多系统设置:

使Windows XP SP2 以后版本的Windows Firewall失效:

HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters

FirewallPolicyStandardProfileEnableFirewall=0x0

使Windows XP SP2 以后版本的Firewall Notifications失效:

HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters

FirewallPolicyStandardProfileDisableNotifications =0x1

使AutoComplete失效:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer

AutoCompleteAutoSuggest=”NO”

HKCUSoftwareMicrosoftInternet ExplorerMainUse FormSuggest="no”

HKCUSoftwareMicrosoftInternet ExplorerMainFormSuggest PW Ask="no

使Yahoo Pager 密码保存和Yahoo Pager 自动登陆失效:

HKCUSoftwareYahooPagerSave Password=0x0

HKCUSoftwareYahooPagerAuto Login=0x0

Disables storage of credentials or .NET Passports for network authentication

HKLMSYSTEMCurrentControlSetControlLsadisabledomaincreds=0x1

Disables saved passwords associated with Network Connection phone book entries

HKLMSYSTEMCurrentControlSetServicesRasManParameters

DisableSavePassword=1

Talpalk 还会删除以下键值:

HKCUSoftwareMirabilisICQNewOwners

HKLMSoftwareMirabilisICQNewOwners

HKCUSoftwarePalTalk

HKCUSoftwareMicrosoftIdentityCRL

删除文件

Talpalk删除以下文件和/或目录:

configSteamAppData.vdf

指以下键值:

HKEY_LOCAL_MACHINESOFTWAREValveSteamInstallPath.

删除存储与“Steam”游戏相关的帐户的文件。

在以下目录中的所有文件和目录 C:My RoboForm Data (利用RoboForm 保存密码)

在目录下的所有文件和目录。

这里的 指以下键值:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer

Shell FoldersCookies

Mozilla 和 Opera

这里的 指以下键值:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer

Shell FoldersAppData

盗窃敏感信息

Talpalk安装一个系统hoook来监控键盘和鼠标的输入,为了盗窃敏感信息。它监控MSN Messenger和窗口标题包含以下字符串的软件:

.NET Messenger

Anmelden

Anonygold.com

ANZ Internet Banking

AOL.com

Bank of America

Bank one

BankCard

BankWest Online banking

Barclays IBank

bendigobank.com.au - bendigo e-banking

Capital One Online

Chase.com

Chevy Chase Bank

Citibank

e-gold Account

Electronic Money Orders

Gawab.com , Users

HSBC Bank

HYIP Lister

ib.national.com.au - Welcome

iKobo Money Transfer

ING Direct

INT Gold

internetbanking.suncorpmetway.com.au -

Jack henry & Associates

Key Bank

Login

Login - Steam

Login to Paltalk

moneybookers.com

moneybookers.com - and money moves

MoneyMakerGroup

NatWest

NetBank

On-line Dealing Site

Online Account Access Login

Online Service

PayPal

Pecunix

Please Sign In

PNC Bank

RBC

Reality Cycler

Register for Online Access

Rietumu banka

Safe-mail.net

Screen Name Sign In

SFIpay

Sign In

Sign On

St.George Internet Banking Logon

The Universal Payment System

U.S. Bank

V-Money

Wachovia

Walla! - free 1G

Welcome to Gmail

Welcome to paltalk

Wells Fargo

Westpac online - Sign In

WorldPay

www2.netbank.commbank.com.au - Logon

XEtrade - Log in Page

Yahoo! Mail - The Best

Talpalk将记录的信息保存到 %Windows%mpdb.dat ,并将它发送到一个特定的URL,发送成功后删除 %Windows%mpdb.dat 文件。

其它信息

Talpalk 运行时生成一个临时文件c:ali.html。

清除:

KILL安全胄甲最新版本可检测/清除此病毒。

 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如何用java替换看不见的字符比如零宽空格​十六进制U+200B
 干货   2023-09-10
网页字号不能单数吗,网页字体大小为什么一般都是偶数
 干货   2023-09-06
java.lang.ArrayIndexOutOfBoundsException: 4096
 干货   2023-09-06
Noto Sans CJK SC字体下载地址
 干货   2023-08-30
window.navigator和navigator的区别是什么?
 干货   2023-08-23
js获取referer、useragent、浏览器语言
 干货   2023-08-23
oscache遇到404时会不会缓存?
 干货   2023-08-23
linux下用rm -rf *删除大量文件太慢怎么解决?
 干货   2023-08-08
刀郎新歌破世界纪录!
 娱乐   2023-08-01
js实现放大缩小页面
 干货   2023-07-31
生成式人工智能服务管理暂行办法
 百态   2023-07-31
英语学习:过去完成时The Past Perfect Tense举例说明
 干货   2023-07-31
Mysql常用sql命令语句整理
 干货   2023-07-30
科学家复活了46000年前的虫子
 探索   2023-07-29
英语学习:过去进行时The Past Continuous Tense举例说明
 干货   2023-07-28
meta name="applicable-device"告知页面适合哪种终端设备:PC端、移动端还是自适应
 干货   2023-07-28
只用css如何实现打字机特效?
 百态   2023-07-15
css怎么实现上下滚动
 干货   2023-06-28
canvas怎么画一个三角形?
 干货   2023-06-28
canvas怎么画一个椭圆形?
 干货   2023-06-28
canvas怎么画一个圆形?
 干货   2023-06-28
canvas怎么画一个正方形?
 干货   2023-06-28
中国河南省郑州市金水区蜘蛛爬虫ip大全
 干货   2023-06-22
javascript简易动态时间代码
 干货   2023-06-20
感谢员工的付出和激励的话怎么说?
 干货   2023-06-18
 
>>返回首页<<
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有