病毒名称:
Backdoor.Dumador.n.enc
类别: 后门病毒
病毒资料:
破坏方法:
后门程序
病毒运行后将自己复制多份分别放置在%WINDIR%、%SYSDIR%和StarMenu目录下,文件名分别"Load32.exe"、"Rundllw.exe"、"DLLREG.exe"、"VXCMGR32.EXE",并在%SYSDIR%下释放其用于挂键盘钩子的动态库--"GUID32.DLL"。
修改以下系统设置以达到其自启动的目的。
1.修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项;
2.修改win.ini文件的"RUN"数据项;
3.修改system.ini文件的"Shell"数据项;
4.将自己复制到StarMenu("开始"菜单的"启动"项)目录下。
遍历系统中的进程,终止文件名中含有下列字符串的进程:
ZAUINST.EXE
ZAPRO.EXE
ZONEALARM.EXE
ZATUTOR.EXE
MINILOG.EXE
VSMON.EXE
LOCKDOWN.EXE
ANTS.EXE
FAST.EXE
GUARD.EXE
TC.EXE
SPYXX.EXE
PVIEW95.EXE
REGEDIT.EXE
DRWATSON.EXE
......
这些进程是一些监控工具和一些反病毒软件。
搜索系统中文件扩展名为"htm"、"wab"、"Html"、"dbx"、"tbb"、"abd"的文件,从其中提取邮件地址,并向这些邮件地址发送邮件。
邮件的标题为:
"Use this patch immediately !"
邮件正文有以下内容:
"Dear friend , use this Internet EXPlorer patch now!..
There are dangerous virus in the Internet now!..More than 500.000 already infected!"
附件:
"patch.exe"
创建多个线程用于监听其开放的端口,为其控制端提供文件操作、进程控制、传送文件等远程控制服务。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-4