病毒名称:
Backdoor.Y3KRat.14
类别: 特洛伊木马
病毒资料:
感染长度:332,800字节
危害级别:中
传播速度:慢
受影响系统:Windows 95, Windows 98, Windows ME
不受影响系统:Windows NT, windows 2000, Windows XP, Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
病毒危害:
1.修改系统注册表;
2.记录击键情况,拦截保密数据;
3.允许未授权访问被感染电脑;
病毒传播:
通过端口:5888,5889,5882,5884
技术特征:
该木马用Delphi编写,经过UPX v1.02压缩,运行后它会:
1.将自己复制为C:WindowsMessenger.exe
2.在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
中创建键值:Yahoo! C:WindowsYahoo!Messenger.exe
使得木马能随Windows的启动而自动运行;
3.将自己注册成一服务进程,在用户注销后仍能继续运行,只有关闭计算机,它才会被关闭。
4.试图访问存储在本机上的Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'密码缓冲区,盗取其中密码。密码包括modem及拔号密码、URL密码、共享密码等。
5.利用ICQ传呼功能通知客户端。
该木马被安装后,它会等待来自远程客户端的指令,这些指令可让黑客执行如下操作:
(1).发送系统及网络信息给黑客,包括登陆名及缓存密码。
(2).安装FTP服务器,黑客可指被感染机器作为一个临时存储设备。
(3).记录用户击键情况,拦截保密数据及当前屏幕信息发送给黑客。
(4).下载及执行文件。
(5).进行屏幕截图并发送给黑客。
木马清除:
1.更新病毒定义库;
2.进行全系统扫描,删除找到的Backdoor.Y3KRat.14文件;
3.删除注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
中的键值Backdoor.Y3KRat.14
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
别名: Backdoor.Y3KRat.14.b [AVP], BackDoor-GQ.svr [McAfee], BKDR_Y3KRAT.14.A [Trend]
发现日期:
2002-11-18
