病毒名称:
Backdoor.Grabilka
类别: 后门病毒
病毒资料:
破坏方法:
后门病毒
一、释放“sam.dll”到系统中,注册表为组件,修改注册表,当eXPlorer.exe启动的时候,注入到explorer中。
1
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
"SysCheck" : {26266B3C-75A0-40FE-8F63-F5608DC4B0BB}
2
HKEY_LOCAL_MACHINE\Software\Classes\CLSID
\{26266B3C-75A0-40FE-8F63-F5608DC4B0BB}
二、在explorer.exe,开辟新的线程,监听本地tcp端口,等待远程控制命令。
三、采用mediaplay的图标。用户运行后,为了欺骗用户,生成“c:\p.avi”,打开相关程序。
四、在系统目录创建文件夹“prn_”,把自身拷贝过去,命名为“porno.avi.exe”。
运行net命令,共享该文件夹。
例如: net share porno=C:\WINNT\System32\prn_
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-1-12