Backdoor/Prorat.16
病毒长度:可变
病毒类型:木马
危害等级:*
影响平台:Win9X/2000/XP/NT/Me
Backdoor/Prorat.16是一个用Delphi程序编写并用UPX压缩过的木马,它可以使攻击者完全控制你的计算机。
传播过程及特征;
1.在系统目录下复制自身,文件名是变化的,可能是:
Main.exe
Loader.exe
Msmsg.exe
Winserv.dll
Fservice.exe
Sservice.exe
2.修改注册表:
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"MSNMESENGER"="%System%Main.exe"键值
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun下添加"DirectX for Microsoft Windows"="%System%Sservice.exe"键值
在HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下添加"StubPath"="C:WindowssystemSservice.exe"键值
添加HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{5Y99AE78-58TT-11dW-BE53-Y67078979Y}子键
3.在50000-60000范围内选择一端口打开进行监听,此木马常选择端口58343。
4.通过ICQ发送木马和目标计算机的IP地址和端口号到指定的ICQ用户。
5.可能会将一个.dll文件嵌入到Winlogon程序作为一个线程,达到杀死一些安全软件进程的目的。
