病毒别名: 处理时间:2006-08-28 威胁级别:★★
中文名称: 病毒类型:黑客程序 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个后门病毒,它能接收黑客发来的IRC指令进行工作,包括
收集信息,攻击其它IP地址,下载/上传指定文件,Ddos(拒绝服务攻击)等功能,
它还能向局域网其它机器发送大量的垃圾数据,阻塞了局域网。
1:拷贝文件
病毒被运行后,会把自己拷贝到%system%目录下,并命名为asus.exe,
之后会删除自己。
2:更改注册表
病毒会更改以下4处注册表的值,使自己能随Windows启动
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Asus MotherBoard Utility -> "asus.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
Asus MotherBoard Utility -> "asus.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
Shell ->"Explorer.exe asus.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
Userinit -> "C:WINDOWSsystem32userinit.exe,asus.exe"
3:连接远程机器
病毒会每隔两秒以SYN_SEND连接两个远程IP(211.15.**.**:41510与218.242.***.**:41510)
一但连接成功,就会监听发过来的指令,并按指令做指定动作。
指令如下:
HTTPDos
SYN
UDP
IM-Spread
Download
DOWNLOAD
Main
SCAN
Update
THREADS
SOCKS4
4:向局域网其它机器发送垃圾数据
病毒一但发现机器连接在局域网上,则随机生成IP,并向
这些IP发送大量的垃圾数据包,严重影响了局域网的速度。
