監聽原理:將監聽程序偽裝成windows的啟動文件internat.exe,將原system目錄內的同名文件拷入
windows目錄,將本目錄文件更名為SMAXINTE.EXE 從而實現啟動隱身後台運行。windows目錄中的sqwin.ini是其運行記錄文件。註冊表中新建3個主鍵
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
發送的郵箱、密碼個數等信息放在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
\Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation
\Policies\Retriction\Adspopware\Connection Wizard Explorer\ShellServiceO
bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage中
啟 動:隨系統啟動,駐留後台運行
外在表現:windows目錄下存在internat.exe和sqwin.ini文件,system目錄下internat.exe長度為196K,同時出現smaxinte.exe文件,長度大約37K。
對 策:刪除WINDOWS目錄中的internat.exe和sqwin.ini文件,因system中的監聽程序正在運行,所以無法直接刪除,可用下列方式進行刪除:
1、用內存管理程序移掉內存中的INTERNAT,然後刪除system中的INTERNAT.EXE,將smaxinte.exe改名為internat.exe
2、將INTERNAT.EXE的系統屬性改為普通,退到純DOS下,再刪除system中的INTERNAT.EXE,將 smaxinte.exe改名為internat.exe瞭解註冊表的再刪除
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK 3個相關鍵
綜 述:隱蔽性極強,偽裝做的很不錯,基本沒有明顯漏洞,屬專業級盜竊程序