BKDR_SHOTODOR.A

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它添加某些注册表项，禁用任务管理器。该操作阻止用户通过任务管理器终止恶意软件进程。

它执行远程恶意用户的命令，有效地攻击受感染的系统。

它修改 Internet Explorer 区域设置。

它记录用户的按键，窃取信息。

安装

它植入下列文件/组件：

• %User Profile%\WXVIL\RXBWDEDJ.dat - deleted after execution; contains obfuscated AutoScript
• %User Profile%\WXVIL\762677.JUB - detected as BKDR_SHOTODOR.A
• %User Profile%\WXVIL\settings.ini - config file
• %User Profile%\WXVIL\481456.dat - encrypted file
• %User Profile%\WXVIL\328774.dat - encrypted file

(注意: %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

它植入下列非恶意文件：

• %User Profile%\WXVIL\GIPYL.exe - non malicious AutoIt file

(注意: %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

它创建下列文件夹：

• %User Profile%\WXVIL
• %Application Data%\dclogs

(注意: %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。. %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它添加下列互斥条目，确保一次只会运行一个副本：

• DC_MUTEX-B2FTUQZ

它通过向下列进程中注入代码来驻留在内存中：

• RegSvcs.exe (v2.0.50727)
• RegSvcs.exe (v4.0.30319)
• Default Internet Browser (e.g. iexplore.exe, firefox.exe, chrome.exe)

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
WXVIL = "%User Profile%\WXVIL\start.vbs"

它植入下列文件：

• %User Profile%\WXVIL\3562.vbs
• %User Profile%\WXVIL\start.cmd
• %User Profile%\WXVIL\start.vbs - runs the file "start.cmd"

(注意: %User Profile% 是当前用户的概要文件文件夹，通常位于 C:\Windows\Profiles\{user name} (Windows 98 和 ME)、C:\WINNT\Profiles\{user name} (Windows NT) 和 C:\Documents and Settings\{user name} (Windows 2000、XP 和 Server 2003)。)

其他系统修改

它添加下列注册表键值:

HKEY_CURRENT_USER\Software\DC3_FEXEC

它添加下列注册表项，禁用任务管理器：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

后门例程

它执行远程恶意用户的下列命令：

• Capture video from webcam
• Change MSN Messenger & MSN contact list status
• Empty Recycle Bin
• List active windows
• Remote shell command
• Download and execute files
• Download updated copy of itself
• Upload files
• Log keystrokes
• Modify system's host file
• Record sounds
• Open and close CD-ROM drive door
• Steal passwords
• Get torrent files
• Refresh Wifi
• Uninstall programs
• Manipulate the following:
  • Browser
  • Clipboard
  • Desktop
  • Dialog Box
  • Files
  • Folders
  • Mouse clicks
  • Processes
  • Registries
  • Services
  • Shutdown button options
  • Start button
  • System clock
  • System tray
  • Taskbar

Web浏览器主页和搜索页面修改

它修改 Internet Explorer 区域设置。

信息窃取

它收集下列数据:

• Admin rights
• Computer/User name
• Language/Country
• Operating System information

它记录用户的按键，窃取信息。

窃取信息

被窃取的信息保存在下列文件中:

• %Application Data%\dclogs\{Current Date}-{Number}.dc

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)