替换ctfmon.exe的下载器window.exe的方法

病毒描述：
　　此病毒利用替换输入法输入程序的方法伪装自身，从而可以利用原先已有的ctfmon启动项目启动自身，并进行下载木马和感染htm文件等操作
　　File: window.exe
　　Size: 19380 bytes
　　Modified: 2007年10月19日, 17:42:28
　　MD5: BDAA1AB926518C7D3C05B730C8B5872C
　　SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A
　　CRC32: BEC77526
　　1.病毒运行后，生成以下文件：
%systemroot%\system32\ctfmon.exe.tmp

　　结束ctfmon.exe进程，之后启动
%systemroot%\system32\ctfmon.exe.tmp

　　2.修改注册表
　　在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
　　下面的PendingFileRenameOperations添加键值，使得重启之后把ctfmon.exe.tmp
　　重命名为ctfmon.exe
　　
　　
　　3.遍历非系统分区下面的
　　php,jsp,asp,htm,html文件，在其后面加入 的代码
　　4.通过netsh firewall add allowedprogram %systemroot%\system32\ctfmon.exe命令
　　把%systemroot%\system32\ctfmon.exe加入到防火墙的允许列表中
　　5.试图以下列密码连接局域网内其他用户电脑
901100
　　mypass123
　　mypass
　　admin123
　　mypc123
　　mypc
　　love
　　pw123
　　Login
　　login
　　owner
　　home
　　zxcv
　　yxcv
　　qwer
　　asdf
　　temp123
　　temp
　　test123
　　test
　　fuck
　　fuckyou
　　root
　　ator
　　administrator
　　patrick
　　123abc
　　1234qwer
　　123123
　　121212
　　111111
　　alpha
　　2600
　　2003
　　2002
　　enable
　　godblessyou
　　ihavenopass
　　123asd
　　super
　　computer
　　server
　　123qwe
　　sybase
　　abc123
　　abcd
　　database
　　passwd
　　pass
　　88888888
　　11111111
　　000000
　　54321
　　654321
　　123456789
　　1234567
　　qq520
　　5201314
　　admin
　　12345
　　12345678
　　mein
　　letmein
　　2112
　　baseball
　　qwerty
　　7777
　　5150
　　fish
　　1313
　　shadow
　　1111
　　mustang
　　pussy
　　golf
　　123456
　　harley
　　6969
　　password
　　1234

　　6.连接网络下载木马
　　下载http://60.190.*/elf_listo.txt到%systemroot%\system32下面
　　里面是木马下载列表
　　下载http://60.190.*/win1.exe~http://60.190.*/win20.exe到C盘根目录下面
　　下载的木马均为盗号木马，可以盗取如下游戏的帐号密码(不限于)
奇迹世界
　　魔兽世界
　　QQ
　　天龙八部
　　问道
　　传奇世界 ...
　　其中一个传奇世界木马里面还有如下字样 　　
　　木马植入完毕后的sreng日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

本文来自: 脚本之家(www.jb51.net) 详细出处参考：http://www.jb51.net/article/12561.htm