病毒名称:
Trojan.Redterror.17
类别: 木马病毒
病毒资料:
破坏方法:
恶性的木马病毒,采用Delphi编写。
一旦执行,将执行如下操作:
1.病毒搜索系统,覆盖以下文件,文件名不变,文件内容替换为病毒体:
regedit.exe ---注册表编辑器
scanregw.exe ---注册表扫描工具
notepad.exe ---记事本
winipcfg.exe ---系统配置工具
同时病毒复制自己到window目录下:
%WINDIR%\server.exe
2.病毒添加如下值:
"sever"="%WINDIR%\server.exe"
到:
HKLM\Software\Microsoft\Windows\Currentversion\run 下
以及:
"sever"="%WINDIR%\server.exe"
到:
HKLM\Software\Microsoft\Windows\Currentversion\runonceex下
这样病毒就可以随系统自启动
病毒还修改文本文件的关联,相应注册表键值为:
HKCR\software\classes\txtfile\shell\open\command
@="%SYSDIR%\server.exe"
结果是当用户打开任何文本文件时首先执行病毒。
3.病毒将打开一个后门,监听TCP端口2022,与其客户端连接后,将可以执行如下操作:
截屏
重启
开关光驱
等等
4.病毒搜索系统,根据系统的目录名在系统中大量复制自身,制造大量垃圾。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-20