金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 释放Mole.dll、Mole.ini、Mole.Mol以下文件到C:WINDOWS目录下,其中Mole.Mol是自身的备份
行为分析:
这是一个类似于灰鸽子的远程木马。它能帮助黑客获取用户桌面显示的实况图像,帮助黑客控制中毒电脑,它还具备自动升级的功能。
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 释放Mole.dll、Mole.ini、Mole.Mol以下文件到C:WINDOWS目录下,其中Mole.Mol是自身的备份
行为分析:
这是一个类似于灰鸽子的远程木马。它能帮助黑客获取用户桌面显示的实况图像,帮助黑客控制中毒电脑,它还具备自动升级的功能。
描述:
1. 释放Mole.dll、Mole.ini、Mole.Mol以下文件到C:WINDOWS目录下,其中Mole.Mol是自身的备份
2. 创建Fwind服务,显示名称为Windows Luck,提示信息为“提供网络访问服务”
3. 在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun添加记录,名称为system32,值为C:Program FilesOutlook Expresssystem.exe
4. 将自身复制到C:Program FilesOutlook Expresssystem.exe,为其创建服务开机自动运行,并且调用WinExec以后台方式运行该程序
5. 为C:program filesinternet exploreriexplore.exe创建进程,使用CreateRemoteThread将自身的Mole.Mol加载上去
6. Mole.dll在iexplore.exe加载的初始化函数Apachetwoapp::initialization(void)做以下操作:
1) 映射自身为到内存,映射的对象名为MoleNO.1
2) 得到当前计算机名,读取Mole.ini配置文件,得到端口号,创建线程与远程控制端联系(dai**bin.3**2.org)
3) 得到的字符为RWX时,继续循环
4) 得到的字符为Sutdown时,关闭自身
5) 得到的字符为1时,判断下面的字符串,根据字符串做相应的操作:
a. DirList、FileList、RegList、SysList、PrsList、ServerList(得到文件、注册表、进程等信息)
b. FDelFolder、FDelFile、FNewFile、FNewFolder、FReFolder、FRun(对文件进行操作)
c. RDelRegvalue、RDelRegkey、RNameCreate、RStringValueCre、RDWordValueCrea、RBinaryValueCre、RNameReName、RValueReName(对注册表进行操作)
d. Delserver、startserver、stopserver(对服务进行操作)
e. ProcessOperate、MSDOS、URLdown、Clip、startkey、stopkey、closekey、KillSYS、LockMouse、UnLockMouse、Lockdesk、UnLockdesk、HideDesk、ShowDesk、HideTaskbar、ShowTaskbar、OpenCD、CloseCD、nom、min(一些其他操作,可以从英文上看出用途)
6) 得到的字符为2时,对自身程序进行升级
7) 得到的字符为3时,显示被控制端的桌面
8) 得到的字符为4时,对桌面进行鼠标、键盘操作
9) 得到的字符为B时,修改Mole.ini文件的内容
10) 若都不是则关闭程序
1. 释放Mole.dll、Mole.ini、Mole.Mol以下文件到C:WINDOWS目录下,其中Mole.Mol是自身的备份
2. 创建Fwind服务,显示名称为Windows Luck,提示信息为“提供网络访问服务”
3. 在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun添加记录,名称为system32,值为C:Program FilesOutlook Expresssystem.exe
4. 将自身复制到C:Program FilesOutlook Expresssystem.exe,为其创建服务开机自动运行,并且调用WinExec以后台方式运行该程序
5. 为C:program filesinternet exploreriexplore.exe创建进程,使用CreateRemoteThread将自身的Mole.Mol加载上去
6. Mole.dll在iexplore.exe加载的初始化函数Apachetwoapp::initialization(void)做以下操作:
1) 映射自身为到内存,映射的对象名为MoleNO.1
2) 得到当前计算机名,读取Mole.ini配置文件,得到端口号,创建线程与远程控制端联系(dai**bin.3**2.org)
3) 得到的字符为RWX时,继续循环
4) 得到的字符为Sutdown时,关闭自身
5) 得到的字符为1时,判断下面的字符串,根据字符串做相应的操作:
a. DirList、FileList、RegList、SysList、PrsList、ServerList(得到文件、注册表、进程等信息)
b. FDelFolder、FDelFile、FNewFile、FNewFolder、FReFolder、FRun(对文件进行操作)
c. RDelRegvalue、RDelRegkey、RNameCreate、RStringValueCre、RDWordValueCrea、RBinaryValueCre、RNameReName、RValueReName(对注册表进行操作)
d. Delserver、startserver、stopserver(对服务进行操作)
e. ProcessOperate、MSDOS、URLdown、Clip、startkey、stopkey、closekey、KillSYS、LockMouse、UnLockMouse、Lockdesk、UnLockdesk、HideDesk、ShowDesk、HideTaskbar、ShowTaskbar、OpenCD、CloseCD、nom、min(一些其他操作,可以从英文上看出用途)
6) 得到的字符为2时,对自身程序进行升级
7) 得到的字符为3时,显示被控制端的桌面
8) 得到的字符为4时,对桌面进行鼠标、键盘操作
9) 得到的字符为B时,修改Mole.ini文件的内容
10) 若都不是则关闭程序
回复
评论病毒
