网站首页/网络技术列表/内容

CHM木马技术区分报告

网络技术2023-12-17阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。


    9月13日,反病毒中心监测到,两个恶意网站:

    http://www.js******info.com

    http://www.n***y.com

    利用IE漏洞MS04-023种植CHM木马。木马程序是经过特殊配置的键盘记录器(KeyLogger.PerfectKeyLogger.120),用户中招后,病毒将监视当前窗口的标题,如果标题包含“QQ”、“ICQ”、“MSN”、“银行”、“股票”、“上网卡”、“在线支付”等字眼,病毒会自动进行键盘记录。并定时把窃取的信息通过电子邮件发送出去。

    具体技术特征如下:

    1. 病毒运行后,将创建下列文件:

    %SystemDir%\dllcache\pk.bin, 3680字节,病毒配置文件

    %SystemDir%\dllcache\phantom.exe, 393216字节,病毒程序

    %SystemDir%\dllcache\kw.dat, 803字节,病毒配置文件

    %SystemDir%\dllcache\phantomhk.dll, 8704字节,病毒模块

    %SystemDir%\dllcache\phantomi.dll, 215040字节,病毒模块

    %SystemDir%\dllcache\phantomwb.dll, 40960字节,病毒模块

    2. 在注册表中添加下列启动项:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe

    这样,在Windows启动时,病毒就可以自动执行。

    3. 采用进程隐藏技术,在Windows 2000和XP等基于NT的系统上,病毒进程phantom.exe不会在“进程管理器”列表中出现,另中毒用户很难发觉。

    4. 当前窗口标题包含下列字串时,病毒开始记录用户的键盘输入:

    QQ ID ICQ MSN RMB FTP DNS VIP bank E-mail 会员 网易 空间 域名 邮箱

    点卡 充值 转帐 汇款 美金 资金 亿唐 etang 8u8 163 网易 Yahoo 雅虎 Sohu 搜狐

    商城 购物 管理 支付 股票 money 中国人 chinaren 上网卡 人民币 nease 发又发

    Myrice 多来米 Hotmail 126.com yeah.net 163.com 3322.org meibu.com Serv-U CuteFTP

    FlashFXP Outlook 文件上传 个人银行 商业银行 网上银行 国际银行 国际金融业务

    银联支付网关 工商银行 牡丹信用卡 招商银行 个人网上银行 中国建设银行

    交通银行网上银行 深圳发展银行 民生银行 华夏银行 上海银行 首都电子商城

    中国在线支付网 IPAY网上支付中心 中国在线支付网商户 招商银行网上支付

    Irc Shell hacker Trojan Exploits lcx 蓝屏 木马 黑洞 黑客 密蜂 神气儿 灰鸽子 小凤居

    黑鹰基地 网络休闲庄 远程桌面连接 Beast Radmin

    5. 定时通过电子邮件把窃取的信息发送出去。

    目前,利用MS04-023漏洞的CHM木马十分猖獗,我们提醒广大用户,请立刻下载安装微软的安全补丁程序MS04-023,并及时更新杀毒软件的病毒库,才能免受CHM木马病毒的侵害。


网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

相关阅读