替换ctfmon.exe的下载器window.exe的方法_病毒查杀教程-查字典教程网
替换ctfmon.exe的下载器window.exe的方法
替换ctfmon.exe的下载器window.exe的方法
发布时间:2016-12-26 来源:查字典编辑
摘要:病毒描述:此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操...

病毒描述:

此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作

File:window.exe

Size:19380bytes

Modified:2007年10月19日,17:42:28

MD5:BDAA1AB926518C7D3C05B730C8B5872C

SHA1:BF4C82AA7F169FF37F436B78BBE9AA7FD652118A

CRC32:BEC77526

1.病毒运行后,生成以下文件:

%systemroot%system32ctfmon.exe.tmp

结束ctfmon.exe进程,之后启动

%systemroot%system32ctfmon.exe.tmp

2.修改注册表

在HKLMSYSTEMCurrentControlSetControlSessionManager

下面的PendingFileRenameOperations添加键值,使得重启之后把ctfmon.exe.tmp

重命名为ctfmon.exe

3.遍历非系统分区下面的

php,jsp,asp,htm,html文件,在其后面加入的代码

4.通过netshfirewalladdallowedprogram%systemroot%system32ctfmon.exe命令

把%systemroot%system32ctfmon.exe加入到防火墙的允许列表中

5.试图以下列密码连接局域网内其他用户电脑

901100

mypass123

mypass

admin123

mypc123

mypc

love

pw123

Login

login

owner

home

zxcv

yxcv

qwer

asdf

temp123

temp

test123

test

fuck

fuckyou

root

ator

administrator

patrick

123abc

1234qwer

123123

121212

111111

alpha

2600

2003

2002

enable

godblessyou

ihavenopass

123asd

super

computer

server

123qwe

sybase

abc123

abcd

database

passwd

pass

88888888

11111111

000000

54321

654321

123456789

1234567

qq520

5201314

admin

12345

12345678

mein

letmein

2112

baseball

qwerty

7777

5150

fish

1313

shadow

1111

mustang

pussy

golf

123456

harley

6969

password

1234

6.连接网络下载木马

下载http://60.190.*/elf_listo.txt到%systemroot%system32下面

里面是木马下载列表

下载http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盘根目录下面

下载的木马均为盗号木马,可以盗取如下游戏的帐号密码(不限于)

奇迹世界

魔兽世界

QQ

天龙八部

问道

传奇世界 ...

其中一个传奇世界木马里面还有如下字样

木马植入完毕后的sreng日志如下:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新病毒查杀学习
    热门病毒查杀学习
    实用技巧子分类