反病毒中心监测到,两个恶意网站:js******infon***y 利用IE漏洞MS04-023种植CHM木马,
CHM木马技术分析报告
。木马程序是经过特殊配置的键盘记录器(KeyLogger.PerfectKeyLogger.120),用户中招后,病毒将监视当前窗口的标题,如果标题包含“QQ”、“ICQ”、“MSN”、“银行”、“股票”、“上网卡”、“在线支付”等字眼,病毒会自动进行键盘记录。并定时把窃取的信息通过电子邮件发送出去。具体技术特征如下:
1.病毒运行后,将创建下列文件:
%SystemDir%\dllcache\pk.bin,3680字节,病毒配置文件
%SystemDir%\dllcache\phantom.exe,393216字节,病毒程序
%SystemDir%\dllcache\kw.dat,803字节,病毒配置文件
%SystemDir%\dllcache\phantomhk.dll,8704字节,病毒模块
%SystemDir%\dllcache\phantomi.dll,215040字节,病毒模块
%SystemDir%\dllcache\phantomwb.dll,40960字节,病毒模块
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%\dllcache\phantom.exe
这样,在Windows启动时,病毒就可以自动执行,《CHM木马技术分析报告》()。
3.采用进程隐藏技术,在windows2000和XP等基于NT的系统上,病毒进程phantom.exe不会在“进程管理器”列表中出现,另中毒用户很难发觉。
4.当前窗口标题包含下列字串时,病毒开始记录用户的键盘输入:
QQIDICQMSNRMBFTPDNSVIPbankE-mail会员网易空间域名邮箱
点卡充值转帐汇款美金资金亿唐etang8u8163网易Yahoo雅虎Sohu搜狐
商城购物管理支付股票money中国人chinaren上网卡人民币nease发又发
Myrice多来米Hotmail126yeah1633322.orgmeibuServ-UCuteFTP
FlashFXPOutlook文件上传个人银行商业银行网上银行国际银行国际金融业务
银联支付网关工商银行牡丹信用卡招商银行个人网上银行中国建设银行
交通银行网上银行深圳发展银行民生银行华夏银行上海银行首都电子商城
中国在线支付网IPAY网上支付中心中国在线支付网商户招商银行网上支付
IrcShellhackerTrojanExploitslcx蓝屏木马黑洞 密蜂神气儿灰鸽子小凤居
黑鹰基地网络休闲庄远程桌面连接BeastRadmin
5.定时通过电子邮件把窃取的信息发送出去。
目前,利用MS04-023漏洞的CHM木马十分猖獗,我们提醒广大用户,请立刻下载安装微软的安全补丁程序MS04-023,并及时更新杀毒软件的病毒库,才能免受CHM木马病毒的侵害。
