写这个帖子老是不知道该先说木马好呢?还是先说安全好点~
通过抛硬币,决定还是先说木马好了~
最近盗号貌似很疯狂~好像是真的!明天开始上课了,今天又是星期二维护~趁着无聊去GOOGLE了下~看些安全
方面的资料,顺便看下现在新出了什么病毒和漏洞。 想想最近都是说有PIN码了还被盗号,按这个思路找到个
木马。病毒名叫Trojan.PSW.WoWar.gy,中文名叫 “魔兽占有者III破PIN码版”
这个病毒我开虚拟机试用了下,说下他的功能:
总的来说是用HOOK技术来盗取ID和PW,PIN码方面是采用截图的方式。该木马会自动过滤掉 小6位和大于10
位密码和账号~密码文件是通过80端口发送,使用asp方式收信~运行后回COPY自身到系统文件夹+注册表!
PS:没+过壳的木马文件大概为50K,对于木马来说是很大了!
木马自身安装后,WOW的一些表现和反应:
运行木马后(PS:竟然有小白自己做木马又自己运行~哎!),窗口启动:调整了窗口的大小(可能会),和屏幕
的左上角对齐,最大化 按钮无法使用,主要是为了截PIN码。
全屏方式:无修改直接截取 或者 强行修改成窗口方式。
这样大家应该基本上知道原理了吧?注意启动的时候,窗口大小的改变和 最大化 按钮是否能使用!另外就算没发
现这些问题,在输入ID PW PIN的时候 一半输入+(复制 粘贴另外一半),利用木马小于6位 大于10位这个特
点做文章!如果怕麻烦,那问个最简单的问题好了~你是宁愿麻烦点呢?还是想账号不见呢?
安全提示:
检查注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 是否有system32键名,未做修
改的木马生成的键值内容为"X:\WINDOWS\SYSTEM32\MUMA.EXE" 然后 打开进程管理器 看是否有 该程序
的进程,结束掉!搜索相应的程序清除干净~最后清除 注册表里面RUN下的SYSTEM32键名 到这里基本上就清除干
净了!
此外说下为什么杀毒软件不能完全相信,我拿这个木马作过修改,删除了特征码,然后从新+SHELL,用江民 瑞
星 卡巴 毒霸检查无发现任何病毒~我不是想诽谤杀毒软件,我是想告诫你们:杀毒软件可以起一定作用,但是你
不能完全依靠杀毒软件而忽视自己系统的安全!当然不可能要求各个人都要对系统很了解,但是至少要注意自己上
网行为。大师兄的安全帖子,不清楚的人是应该要多了解些!至少不会让你的系统如此的脆弱!引用某些媒体的
的话:“中国网民的安全意识提高很大” 可惜这个结论建立在用户都知道装杀毒软件或者防火墙了!
PS:名词更正:黑客 是钻研系统安全的专家,他们研究安全问题都是自己建立网络,而不是通过入侵他人系统来试验漏洞,骇客 才是利用自己知道的漏洞或者安全隐患入侵他人系统,乱甩木马病毒的家伙。
我再PS:原来打算正面先说安全 背面先说木马,立起来就什么都不说,结论是立起来真难。这个木马可能有人已
经知道了,希望知道的人看过一笑了之,并不是各个人都清楚。
网友评论