病毒别名:
处理时间:2005-09-23
威胁级别:★
中文名称:
病毒类型:黑客程序
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个供黑客远程控制的后门病毒。该病毒运行时,首先拷贝自身到%windows%sysrs.exe,然后添加注册表启动项,使自身能随开机启动。该病毒使黑客通过IRC聊天室向病毒发送命令来控制用户的主机,使用户沦为“肉鸡”,该病毒会发出udp,icmp等协议的洪水攻击。
1,生成文件
%windows%sysrs.exe
2,添加注册表
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSVC Module
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSVC Module
"ImagePath" = "%windows%sysrs.exe"
3,自我保护
如发现自身在虚拟机里,将不发作,并删除病毒体。
通过以下注册表信息判断是否在虚拟机里
HKLMSOFTWAREVMware, Inc.VMware Tools
"InstallPath"
HKLMSOFTWAREVMware, Inc.VMware Tools
"ShowTray"
4,IRC聊天室控制命令
Bot sniff
IRC sniff
FTP sniff
ackflood
icmpflood
synflood
phatwonk
udpflood
kill
login
logout
等
