病毒名称:
Backdoor.Baste
类别: 特洛伊木马
病毒资料:
受影响系统:Windows 95, Windows 98, Windows ME, Windows NT, windows 2000, Windows XP
不受影响系统:Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
病毒危害:
修改文件:会修改注册表;
威及电脑安全:允许未授权访问机器。会试图关闭反病毒及防火墙程序
病毒传播:
通过端口:27374
技术特征:
该木马是一个Delphi程序,且经过ASPack v2.12压缩,感染后它会打开被感染机器上的27374端口。运行后,木马会执行发下操作:
1.将自己复制为:
%system%Shell32.com
%system%ComComsv.com
%system%Mshost.exe
2.创建如下键值;
在HKEY_LOCAL_MACHINESOFTWAREClassesexefile中创建NeverShowExt
这使得.exe文件的扩展名不会在Windows中显示;
在HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand中创建
(Default) shell32.com "%1" %*
使得每次运行.exe文件时,木马都会自动运行;
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{AS096941-B967-10D8-9CBD-1671028A369E}中创建
StubPath %system%Comcomsv.com
3.通过终止内存中的进程,此木马会关闭一些杀毒软件及防火墙。
如果操作系统是Windows 95/98/Me,木马会将自己注册成一项服务进程,这使得它能在用户注销后继续运行。用户只有在关闭系统时才能关闭木马。
4.利用ICQ传呼功能通知客户端:
木马安装后,它会等待来自远端客户端的指令,这些指令会让黑客执行如下操作:
(1).发送系统及网络信息给黑客;
(2).打开或关闭光驱;
(3).管理木马的安装。
木马清除:
1.更新病毒定义库;
2.Windows 95/98/Me:重启机器进入安全模式
Windows NT/2000/XP:终止木马进程
3.进行全系统查毒,删除查到的Backdoor.Baste文件;
4.恢复被木马修改的注册表;
病毒的清除法:
使用光华反病毒软件清除。
病毒演示:
病毒FAQ:
发现日期:
2002-11-11