病毒别名:Backdoor.Oblivion.01.a 【AVP】
处理时间:
威胁级别:★
中文名称:遗忘1.0
病毒类型:木马
影响系统:Win9X/ME/2000/XP/NT/2003
病毒行为:
编写工具:LCC-Win32
传染条件:
发作条件:
系统修改:
A、将复制自己为%System%(9X的%SystemRoot%system 或 NT/2K的%SystemRoot%system32)如下文件,可能会立即执行:
%System%Kernel32.pif
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled ComponentsWin32 Kernel core component
添加以下键值
"StubPath"="C:WINDOWSSystem32Kernel32.pif ASC"
可能在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加以下键值:
"StubPath"="C:WINDOWSSystem32Kernel32.pif"
可能在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
添加以下键值:
"StubPath"="C:WINDOWSSystem32Kernel32.pif"
可能在注册表主键:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
添加以下键值:
"load"="C:WINDOWSSystem32Kernel32.pif"
"run"="C:WINDOWSSystem32Kernel32.pif"
可能在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
添加以下键值:
"Shell" = "Explorer.exe Kernel32.pif"
C、可能修改C:WindowsSYSTEM.INI的节
[boot]
"Shell"="Explorer.exe Kernel32.pif"
D、可能修改C:WindowsWin.ini的节
[windows]
"load"=""
"run"= "c:WindowsKernel32.pif"
发作现象:
A、在TCP端口2004打开后门,并允许黑客凭密码远程访问感染的计算机,监听黑客发来的命令。
B、将用户的操作系统类型,计算机名字,IP地址,开放端口,访问密码,木马版本信息等等发送给木马种植者设置的网址。
特别说明: