病毒别名:Win32.Troj.Wisdoor.h 【AVP】
处理时间:
威胁级别:★
中文名称:智能后门
病毒类型:木马
影响系统:Win9X/ME/2000/XP/NT/2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
A、将自己复制为系统目录如下文件并且执行(C:Windows 或 C:Winnt):
%Windir%SYSCFGEXE
B、在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加以下键值
"SYSCFG16"="%System%dcemgr.exe"
发作现象:
首先判断进程的名字是否dcemgr.exe,不是的则复制到系统目录下并且运行,是则执行:
A、在端口6667连接到特定的IRC服务器(203.105.1.21/2221.188.182/65.160.219.113/128.121.126.139)。
B、在TCP端口559打开后门,并允许黑客未经授权远程访问感染的计算机,监听黑客发来的命令。
C、攻击者可以对感染该病毒的用户计算机作如下操作:
上传下载文件
执行程序
列举文件
列举进程和模块
结束进程
摄取屏幕信息图像并发送给攻击者
记录键击
截取用户系统信息
添加管理员账号。
记录键盘按键
特别说明: