病毒名称:
Backdoor.Rustock
类别: 后门病毒
病毒资料:
该病毒感染 windows 2000, Windows NT, Windows Server 2003, Windows XP 系统,它打开一个后门,把染毒计算机作为转换代理,使用 rootkit 隐藏病毒所产生的文件和注册表内容,当感染此病毒时,有以下危害:
A 在系统目录里产生以下文件
drivers\I386P.SYS
MSCTL32.DLL
B 创建隐藏的服务,具有以下属性:
名称: i386p
文件路径:%System%\drivers\I386P.SYS
C 增加注册表项"Asynchronous" = "1"
"DllName" = "[NAME_OF_TROJAN_DLL].DLL"
"Impersonate" = "0"
"Startup" = "Startup"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\msctl32.dll
使得病毒每次开机后自动执行
D 插入dropped.dll 到 WINLOGON 进程
E 从以下地址下载安装 icq
http://FTP.icq.com/pub/ICQ_WIN95_98_NT4/[已删除]/icq5_setup.exe
F 使用随机的TCP端口把染毒计算机作为转换代理
G 从以下地址下载执行文件
http://ftp.skystockfinance.cc/[已删除]
http://https.enjoyfit2006.biz/[已删除]
http://www2.firemonk2006.com/[已删除]
H 连接以下地址的SMTP端口25发送邮件
mxs.mail.ru
smtp.yandex.ru
maila.microsoft.com
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-1-16