昨日病毒(2006.03.22)- -| 回首页 | 2006年索引 | - -昨日病毒(2006.03.24)

昨日病毒(2006.03.23)

关键词昨日病毒                                          

 
昨日病毒
统计时段
2006-3-23
病毒样本上报数排行
 
样本文件名
上报次数
newname5.exe
197
mousepad5.exe
194
keyboard5.exe
164
dpnss32.exe
113
技术分析
newname5.exeTrojanDownloader
mousepad5.exeTrojanClicker
keyboard5.exeTrojanDownloader
和以前描述过的keyboard2.exe, keyboard3.exe, keyboard4.exe功能类似,是个变种。
keyboard5.exe是个木马下载器。
运行后,首先向一个网络asp脚本提交新增感染报告,提交形式如下:
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表:
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下:
http://content.dollarrevenue.com/keyboard5.exe,就是keyboard5.exe本身
http://content.dollarrevenue.com/mousepad5.exe,一个广告点击程序,可能弹出广告窗口
http://content.dollarrevenue.com/newname5.exe,木马下载器
dpnss32.exeTrojanProxy.Ranky
病毒运行后,将创建下列文件:
%SystemDir%\dpnss32.exe, 21257字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft (R) Windows Data Execution Prevention Service" = %SystemDir%\dpnss32.exe
这样,在Windows启动时,病毒就可以自动执行。
开启后门代理端口TCP 7328, 黑客可以远程使用这些代理端口,将被感染计算机作为跳板(代理),进行黑客活动。
 

【作者: daishuo】【访问统计:】【2006年03月24日 星期五 12:37】【 加入博采】【打印

Trackback

你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=4726128

博客手拉手

回复

- 评论人:ww   2006-05-13 19:40:55   

HTTP://www.yitiantian.com

- 评论人:zhenlei   2006-04-10 15:24:32   

我好象中了这个病毒,总是弹出www.71791.com这个网站,有个进程是svchest。用什么杀毒工具可以杀掉这个啊。联系我QQ64802909 谢谢你们

- 评论人:hhh   2006-03-28 12:02:05   

我中了bmnss.exe mousepad6。exe请问有专杀工具吗?
验证码:   
评论内容: