病毒名称:
Backdoor.Wootbot.eu
类别: 后门病毒
病毒资料:
破坏方法:
IRC后门程序
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"IEXPLORER.EXE"。
二、修改注册表以下键值以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
3.HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
4.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunOnce
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
5.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\RunOnce
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
三、将自己注册为服务进程,服务名为"FireDaemon",服务显示名称为"USB2"。
四、结束系统中以下进程:
"EXESPY"、"WXR95"、"REGMON"、"FILE MONITOR"、"REGMONEX"、"WINDOW DETECTIVE"、
"DEBUGVIEW"、"RESSPY"、"ADVANCED REGISTRY TRACER"、"REGSNAP"、"EMSPY"、"MEMORY DOCTOR"、
"PROCDUmp32"、"MEMORY EDITOR"、"FROGSICE"、
"SMU WINSPECTOR"、"MEMORY DUMPER"、"MEMORYMONITOR"、
"NUMEGA SOFTICE LOADER"、"URSOFT W32DASM"、
"-=CHINA CRACKING GROUP=-"、"OllyDbg"、"TRW2000"
删除系统中以下服务:
"SICE"、"NTICE"、"NTICE7871"、"NTICED052"、"TRWDEBUG"、"TRW"、"TRW2000"、"SUPERBPM"、"ICEDUMP"、"REGMON"、
"FILEMON"、"REGVXD"、"FILEVXD"、"VKEYPROD"、"BW2K"、
"SIWDEBUG"
五、连接指定的IRC服务器,并以特定的昵称加入指定的聊天频道,为其控制端提供以下远程控制服务:
1.对指定IP的计算机进行拒绝服务攻击;
2.下载指定的文件到本地运行;
3.关闭本地计算机;
4.获取本地计算机信息;
5.控制本地计算机进程;
6.窃取某些指定的游戏软件的CD_KEY。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-21