其它名称:W32/Backdoor.WAC (F-Prot) , Trojan.Win32.Pakes (Kaspersky), Win32/Skiks!Trojan
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Skiks.A盗窃敏感信息的一种特洛伊病毒,并下载、运行任意代码。它通过Skype网络以"sp.exe"文件名分布。
感染方式:
运行时,Skiks.A复制到%System%wmp.exe。它将代码注入到Explorer.exe,锁住wmp.exe程序,并防止它被删除。
为了在每次系统启动时运行病毒,特洛伊生成以下注册表:
HKLMSoftwareMicrosoftActive SetupInstalled Components\StubPath = "%System%wmp.exe"
特洛伊还生成一个名为"_wmp_"的互斥体。
危害:
键盘记录
Skiks.A记录所有按键,包括控制键,并保存到%System%wmp文件。
下载并运行任意代码
特洛伊尝试在TCP 1100端口连接nsdf.no-ip.biz地址。如果成功,特洛伊收到一个数据阻塞的数字。数字描述的是期望阻塞的大小。一旦它收到数据阻塞,特洛伊就会立刻运行,假定它是本地Intel x86代码。
同时,nsdf.no-ip.biz不解析为有效地IP地址,就会导致连接失败。
清除:
KILL安全胄甲InoculateIT 23.73.91,Vet 30.3.3264 版本可检测/清除此病毒。