病毒名称:
BackDoor.Equilibrium.10
类别: 后门病毒
病毒资料:
破坏方法:
后门程序
病毒采用Delphi编写,UPX压缩。
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下。
二、修改注册表以下键值以达到其自启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
三、结束多种反病毒软件以及监控软件的进程:
_AVPM.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
RTVSCN95.EXE
DEFWATCH.EXE
VPC32.EXE
VPTRAY.EXE
POPROXY.EXE
NAVAPSVC.EXE
ALERTSVC.EXE
NAVLU32.EXE
NAVWNT.EXE
NPSSVC.EXE
LUALL.EXE
SWNETSUP.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
ADVXDWIN.EXE
PADMIN.EXE
NWTOOL16.EXE
......
四、试图将自己复制到以下一些常用的网络传输软件的共享目录下:
C:\Program Files\Donkey2000\incoming
C:\Program Files\ICQ\shared files
C:\Program Files\Morpheus\My Shared Folder
C:\Program Files\Bearshare\Shared
C:\Program Files\GnUCleus\Downloads
C:\Program Files\Gnucleus\Downloads\Incoming
C:\Program Files\Kazaa\My Shared Folder
C:\Program Files\Limewire\Shared
C:\Program Files\eMule\incoming
文件名为"Dragon_NaturallySpeaking_XP.exe"、
"norton_2004_setup.exe"、
"multi_passWord_cracker.exe"。
五、释放以下文件到%SYSDIR%目录:
ath.exe
balyoz.exe
bomba.exe
bonk.exe
jolt2.exe
kod.exe
sin.exe
suf.exe
syn.exe
smurf.exe
这些文件是一些可以对指定IP进行不同方式的拒绝服务攻击的黑客工具。病毒利用这些工具可以对指定的IP进行各种拒绝服务攻击。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-28