Backdoor.PowerSpider.a

病毒名称： Backdoor.PowerSpider.a

中文名称： 密码解霸

病毒类型： 后门

危害等级： 高 文件长度： 139,264 字节

感染系统： Windows 9x以上的所有版本

编写语言： Visual C++ 6.0

病毒描述：

Backdoor.PowerSpider.a （密码解霸服务端） 可以捕获 Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录密码（如： 如 : OICQ ， ICQ ， Outlook ，上网账号 , 软件注册码、各种游戏软件 , 各种财务软件 , 各种管理软件 , 拨号上网 , 共享目录等 ）， 另外还可捕获具有加密功能的游戏密码（如：传奇、奇迹、千年、红月、边锋）等敏感信息。将捕获的密码保存并发送到配置在服务端内的指定信箱中，客户端还具有在线升级功能是一种危险性较高的木马。 服务段运行后会连接网络，到 http://eu.2288.org/ 下载 eu.exe 到本地运行。该地址（ http://eu.2288.org/ ）现以不存在。

行为分析：

1 、 运行该木马后，在 %WINDOWSsystem32 下生成 iexplore .exe 和 mspbhook.dll 两个文件，系统启动 300 毫秒后加入 C:WINDOWSsystem32IEXPLORE .EXE 到启动项。

2 、 修改注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesmssysint

字串 : "IEXPLORE .EXE" 将自身加入服务。

3 、 增加注册表键 HKEY_CLASSES_ROOTDns 和 HKEY_CLASSES_ROOTPwd_box 。

4 、 修改注册表 HKEY_LOCAL_MACHINESOFTWAREClassesPwd_boxmUpgrade_p ， 用来升级。

• 盗取网络游戏客户端密码， Win9x/Win2k/WinXp 下的几乎所有普通窗口的登录

码，及各种在网页的登录密码登陆时的账户及密码。

6 、 加载 mpr.dll ，调用函数 " WNetEnum Cached Passwords " ，获取本地使用的密码，包括 : moden,URL , 共享密码及其他类型的密码。

7 、 扫描系统进程，包括 system ， smss ， csrss ， winlogon ， services ， lsass ， svchost ， spoolsv ， explorer ， rundll32 ， assistse ， c tfmon ， wscntfy ， alg ， TIMPlatform ， wscntfy ， alg,Idle 及密码解霸生成的 IEXPLOER .EXE 同 sniff ， netxray ， dasm ， iris ， softice ， trw 进行比较，若存在上述进程便将其结束。