替换ctfmon.exe的下载器window.exe的方法

所属分类: 实用技巧 / 病毒查杀 阅读数: 1306
收藏 0 赞 0 分享
病毒描述:
  此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作

  File: window.exe

  Size: 19380 bytes

  Modified: 2007年10月19日, 17:42:28

  MD5: BDAA1AB926518C7D3C05B730C8B5872C

  SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A

  CRC32: BEC77526

  1.病毒运行后,生成以下文件:

%systemroot%\system32\ctfmon.exe.tmp 


  结束ctfmon.exe进程,之后启动

%systemroot%\system32\ctfmon.exe.tmp 


  2.修改注册表

  在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

  下面的PendingFileRenameOperations添加键值,使得重启之后把ctfmon.exe.tmp

  重命名为ctfmon.exe

  

  

  3.遍历非系统分区下面的

  php,jsp,asp,htm,html文件,在其后面加入 的代码

  4.通过netsh firewall add allowedprogram %systemroot%\system32\ctfmon.exe命令

  把%systemroot%\system32\ctfmon.exe加入到防火墙的允许列表中

  5.试图以下列密码连接局域网内其他用户电脑

      901100 
  mypass123 
  mypass 
  admin123 
  mypc123 
  mypc 
  love 
  pw123 
  Login 
  login 
  owner 
  home 
  zxcv 
  yxcv 
  qwer 
  asdf 
  temp123 
  temp 
  test123 
  test 
  fuck 
  fuckyou 
  root 
  ator 
  administrator 
  patrick 
  123abc 
  1234qwer 
  123123 
  121212 
  111111 
  alpha 
  2600 
  2003 
  2002 
  enable 
  godblessyou 
  ihavenopass 
  123asd 
  super 
  computer 
  server 
  123qwe 
  sybase 
  abc123 
  abcd 
  database 
  passwd 
  pass 
  88888888 
  11111111 
  000000 
  54321 
  654321 
  123456789 
  1234567 
  qq520 
  5201314 
  admin 
  12345 
  12345678 
  mein 
  letmein 
  2112 
  baseball 
  qwerty 
  7777 
  5150 
  fish 
  1313 
  shadow 
  1111 
  mustang 
  pussy 
  golf 
  123456 
  harley 
  6969 
  password 
  1234 


  6.连接网络下载木马

  下载http://60.190.*/elf_listo.txt到%systemroot%\system32下面

  里面是木马下载列表

  下载http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盘根目录下面

  下载的木马均为盗号木马,可以盗取如下游戏的帐号密码(不限于)

      奇迹世界 
  魔兽世界 
  QQ 
  天龙八部 
  问道 
  传奇世界  ... 

  其中一个传奇世界木马里面还有如下字样   

  木马植入完毕后的sreng日志如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
更多精彩内容其他人还在看

手工毒霸删除瓢虫病毒的图文教程第1/3页

手工毒霸删除瓢虫病毒的图文教程
收藏 0 赞 0 分享

19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf

手工查杀新落雪病毒(19.exe,pagefile.pif,autorun.inf)
收藏 0 赞 0 分享

happy2008病毒专杀 happy2008病毒

Happy2008.zip病毒分析手动解决
收藏 0 赞 0 分享

avwghmn.dll svchost.exe病毒删除方法

avwghmn.dll svchost.exe病毒删除方法
收藏 0 赞 0 分享

木马程序Trojan-Spy.Win32.Agent.cfu清除方法

木马程序Trojan-Spy.Win32.Agent.cfu清除方法
收藏 0 赞 0 分享

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
收藏 0 赞 0 分享

中病毒后常用的解决方法病毒终极解决方案

中病毒后常用的解决方法病毒终极解决方案
收藏 0 赞 0 分享

系统时间改为2000年 修改系统时间病毒

系统时间改为2000年 修改系统时间病毒
收藏 0 赞 0 分享

病毒的万能查杀方法第1/2页

当发现病毒后,不要害怕,我们可以按照下面的方法,去试试,一般只需要不要给病毒运行的机会就可以了,一般进安全模式,去除病毒可能隐藏的启动项里。
收藏 0 赞 0 分享

sreng免费下载 sreng最新版下载

病毒查找利器
收藏 0 赞 0 分享
查看更多