• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

技術角度詳盡解析盜號木馬「鍵盤記錄員」

【賽迪網-IT技術報道】Win32.PSWTroj.OnLineGames.xn.108627是一個盜號木馬程序。它利用鍵盤記錄的方法,記錄下用戶輸入的全部信息,進行加密後發送給病毒作者。

病毒名稱(中文):鍵盤記錄員108627

威脅級別:★★☆☆☆

病毒類型:偷密碼的木馬

病毒長度:108627

影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為:

這個病毒是一個盜號木馬程序。它利用鍵盤記錄的方法,記錄下用戶輸入的全部信息,進行加密後發送給病毒作者。病毒作者通過一定技術手段,就可以從這些信息中篩選出用戶的各類賬號和密碼。

1.程序運行後,生成文件

%system32%/mmvo.exe%system32%/mmvo0.dll

%Temp%/snj4.dll 這個文件名是隨機的

2.在註冊表中添加了註冊項,如下:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"mmva"="%system32%/mmvo.exe"

3.木馬會自動刪除原文件本身;

4.木馬可以修改SSDT(系統服務調度表),從而躲過各種殺毒軟體查殺的目的;木馬將mmvo0.dll注入到explorer進程中,把病毒文件屬性設置為系統隱藏加只讀,並且監視註冊表的修改,把CheckedValue改成0,讓用戶無法顯示隱藏文件,監視用戶的鼠標,鍵盤操作,從而獲得用戶的遊戲賬號和密碼信息,成功獲取信息之後,病毒便將信息加密後以郵件的形式通過SMTP和網頁收信空間發送給木馬作者。

(

加入好友line@vga9721w
線上客服
@hd119