病毒别名:
处理时间:2005-09-09
威胁级别:★
中文名称:
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个集黑客与木马于一身的病毒.
该病毒能够释放病毒文件,修改注册表项.能修改host文件,使用户打开一些特定网址的时,自动连接到病毒作者指定的网站,欺骗用户输入e-gold网站的帐号和密码,然后这些信息会被秘密记录并窃取.该病毒能通过irc传播,黑客可以通过irc控制用户机器,进行恶意操作.还能从网络上特定地址下载病毒文件并运行.能开放特定端口,黑客可以通过这两个端口进行恶意操作.
1,释放文件到以下目录:
%system%spools.exe
2,增加注册表项:
HKLMSoftWareMicrosoftWindowsCurrentVersionRun
"Spools Service Controller"=" C:WINNTSystem32spools.exe"
3,修改host文件:
17.145.117.11 d-ru-1f.kaspersky-labs.com
17.145.117.11 d-ru-1h.kaspersky-labs.com
17.145.117.11 d-ru-2f.kaspersky-labs.com
17.145.117.11 d-ru-2h.kaspersky-labs.com
17.145.117.11 d-eu-2f.kaspersky-labs.com
17.145.117.11 d-eu-2h.kaspersky-labs.com
17.145.117.11 d-eu-1f.kaspersky-labs.com
17.145.117.11 d-eu-1h.kaspersky-labs.com
17.145.117.11 d-us-1f.kaspersky-labs.com
17.145.117.11 d-us-1h.kaspersky-labs.com
17.145.117.11 downloads1.kaspersky.ru
17.145.117.11 downloads2.kaspersky.ru
17.145.117.11 downloads3.kaspersky.ru
17.145.117.11 downloads4.kaspersky.ru
17.145.117.11 downloads5.kaspersky.ru
17.145.117.11 www.kaspersky.ru
17.145.117.11 kaspersky.ru
17.145.117.11 kaspersky-labs.com
17.145.117.11 www.kaspersky-labs.com
17.145.117.11 www.e-gold.com
17.145.117.11 e-gold.com
使用户,打开上述网站时,自动连接到17.145.117.11
4,开放下列端口,进行网络监听:
5722
1879
5,从下列地址下载病毒文件,并运行:
http://web.cplnn.com/syscore32.exe
6,黑客可以通过irc控制用户机器,进行恶意操作