病毒名称:
Trojan.Nethief.47
类别: 木马病毒
病毒资料:
破坏方法:
木马网络神偷4.7的服务端
启动方式:
木马从注册表启动,相应注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\KeyValue
%SYSDIR%\%CURFILE%
其中KeyValue为生成服务端时的键值。
病毒行为:
1.木马运用了“反弹端口原理”与“HTTP 隧道技术”:
“反弹端口原理”:
由服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,并且可以穿过防火墙(包括:过滤型及代理型防火墙)。
“HTTP隧道技术”:
把所有要传送的数据全部封装到 HTTP 协议里进行传送,因此在互联网上可以访问到局域网里通过 HTTP、SOCKS4/5 代理上网的电脑,而且也不会有什么防火墙会拦截。
所以,只要能浏览网页的电脑,网络神偷都能访问!
2.服务端上线通知功能:服务端通过 UDP 协议发消息给客户端,在服务端的“在线列表”里可以看到服务端的主机名、互联网的IP地址、局域网的IP地址、地址位置、上线时间、在线时间等
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-6-13