病毒名称:
Trojan.wollf
类别: 木马病毒
病毒资料:
1.在win98下它会将自己拷贝到系统目录下并改名为grm.exe。
2.在注册表的
\HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows\Current
\Version\runService
中增加一项
"GRMc:\windows\system\grm.exe"
以便在windows启动时将它启动。点击运行后每次开机自动随系统启动。
3.加参数"-once"可作为普通进程运行,重新启动后不自动加载;
加参数"-remove"运行可卸载服务;
加参数"-port "可指定监听端口。
4.默认监听端口为7614,通过Telnet连接后可输入"help"查看命令列表。可通过"exit"命令断开连接, "quit"命令关闭服务,"remove"命令关闭并卸载服务。
5.建议使用nc(NetCat)作为客户端进行连接。命令参数中如有空格必须置于引号对中,如CD "My Documents"。
有以下命令:
DOS 切换到MS-DOS提示符DIR/LS/LIST目录/文件列表,CD进入目录MD/MKDIR,创建目录PWD,查看当前目录COPY/CP,复制目录/文件DEL/RM ,删除目录/文件REN,重命名文件MOVE/MV ,移动目录/文件TYPE/CAT ,查看文本内容WGET,从HTTP服务器下载文件FGET,从FTP服务器下载文件FPUT,向FTP服务器上传文件SHELL,通过系统SHELL(cmd.exe)执行命令,如"SHELL DIR"EXEC/RUN;通过Windows API(WinExec)运行程序PS,查看进程列表WS,查看窗口列表KILL,强行关闭进程EXPORT,在新端口输出SHELL;
TELNET 连接到其他安装本服务的机器POPMSG,弹出系统对话框SYSINFO,查看系统基本信息;
SHUTDOWN 关闭系统EXIT,断开当前连接QUIT,断开所有连接并终止服务REMOVE;
卸载服务VER/VERSION 版本信息HELP/H/?帮助信息
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
病毒Trojan.wollf,黑客工具。
发现日期:
2002-1-3