病毒名称:
BackDoor.Wootbot.t
类别: 后门病毒
病毒资料:
破坏方法:
IRC后门程序
病毒运行后将有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"WINDNSD.EXE"。
二、修改以下注册表键,以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run
增加数据项:"Windows DNS Daemon"
数据值为:WINDNSD.EXE
2.
HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\Run
增加数据项:"Windows DNS Daemon"
数据值为:WINDNSD.EXE
3.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\RunServices
增加数据项:"Windows DNS Daemon"
数据值为:WINDNSD.EXE
4.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\RunOnce
增加数据项:"Windows DNS Daemon"
数据值为:WINDNSD.EXE
5.HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\RunOnce
增加数据项:"Windows DNS Daemon"
数据值为:WINDNSD.EXE
三、将自己注册表服务进程,服务显示名称为"Windows DNS Daemon"。
四、试图利用病毒附带的密码字典猜测网络中其他主机的IPC密码,如果连接成功病毒将复制自己到该主机。
五、搜索以下软件的CDKey:
Unreal Tournament 2004
Unreal Tournament 2003
The Gladiators
Soldier Of Fortune 2
Soldiers Of Anarchy
Shogun Total War - Warlord Edition
Ravenshield
Neverwinter Nights
Need For Speed Underground
Need For Speed Hot Pursuit 2
NHL 2003
NHL 2002
Nascar Racing 2003
Nascar Racing 2002
Medal of Honor Allied Assault Spearhead
Medal of Honor Allied Assault Breakthrough
Medal of Honor Allied Assault
James Bond 007 Nightfire
Industry Giant 2
IGI 2 Retail
Hidden and Dangerous 2
Half-Life
Gunman Chronicles
Global Operations
Freedom Force
FIFA 2003
FIFA 2002
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert2
Command and Conquer: Generals: Zero Hour
Command and Conquer: Generals
Black and White
Battlefield 1942: Vietnam
Battlefield 1942: The Road To Rome
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942
六、以特定昵称登录指定的IRC频道,为其控制端提供进行管理、文件操作、键盘鼠标控制等远程控制服务,并可以对指定的IP进行拒绝服务攻击。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-9-28
