病毒名称:
Trojan.A-311.104.dll
类别: 木马病毒
病毒资料:
破坏方法:
后门病毒。
1.病毒释放PDX.DLL和PDX32.SYS到系统中。
2.添加注册表项
System\CurrentControlSet\Control\MPRServices
\TestService
添加三项:
DLLName "pdx.dll"
EntryPoint "CorpseProc"
StackSize 0x1000
3.然后创建进程mprexe.exe。
4.mprexe.exe是系统程序。
在Win98中,系统启动的时候,会创建进程mprexe.exe,该进程注册为系统服务进程。
负责创建注册表RunService和RunOnce下的程序。
同时该程序还会创建一个线程,该线程地址由
System\CurrentControlSet\Control\MPRServices
\TestService键指定模块及其导出函数。
病毒正是采取这种方式自启动。
5.PDX.DLL的"CorpseProc"函数会不停的退出旧线程、创建新线程,连接指定的网址,接收远程控制命令。
同时发送“A-311 Death Welcome”,病毒名称由此而来。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-10-6
