病毒别名:Backdoor.Win32.Proxydor.c [AVP]
处理时间:
威胁级别:★★
中文名称:地狱之门
病毒类型:黑客程序
影响系统:Win9x / WinNT
病毒行为:
这是一个黑客程序,当用户的机器感染了该病毒后,如果使用IE浏览器访问某些恶意网页,该病毒就会在随机的TCP端口建立SOCKS代理,并偷偷地下载病毒文件windows-update32.exe到Windows的Startup目录下。该病毒还会连接到一台位于www.earthlabs.biz域的服务器,并将染毒机器的后门版本号和IP地址传送到该服务器上;监听TCP的9867端口,等待接受攻击者从远处发送来的命令以采取下一步破坏动作。该病毒可能会导致用户的重要数据信息丢失、机器被黑客完全控制等恶性后果。
1)建立互斥体“w32”,确保只有一个进程。
2)拷贝病毒自身到%System%w32.exe
3)建立服务“Windows Service Application”
4)在注册表中添加启动项,以实现病毒的开机自启动
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
"w32" = "%System%w32.exe"