病毒名称:
Backdoor.LittleWitch.61.f.enc
类别: 后门病毒
病毒资料:
破坏方法:
后门程序,监听本地31320号tcp端口和udp端口。
Delphi写的后门程序,运行后首先将自己拷贝到系统目录,文件名为Rundll.exe,然后删除自身。
启动两个线程
线程一:
循环写注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RunDll : RunDll.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
RunDll : RunDll.exe
这样病毒就能够开机自启动。如果是在98系统下病毒会注册为后台服务。
跟踪用户的鼠标操作操作,获得鼠标所在窗体的信息,并跟踪用户键盘操作。
监听本地31320号端口,等待远程连接,然后向外发送本地信息。
线程二:
连接远程主机wwp.mirabilis.com
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-4-29
