病毒名称:
Backdoor.MiniCommander.202.enc
类别: 后门病毒
病毒资料:
破坏方法:
后门程序,打开并监听两个端口,端口号不定,能杀死多个著名反毒进程。
Delphi写的后门程序,运行后将自己拷贝到windows目录,文件名为server.exe,修改系统配置文件system.ini,
将shell=eXPlorer.exe改为shell=explorer.exe server.exe。这样,每次系统启动时病毒就会启动。
运行后结束下列反病毒进程:
avpcc,Mcshield,VsMain,VsSta,Webscanx,RuLaunch,Avconsol,VsStat,NMain,Navapw32,
NISSERV,SymPxSvc,NISUM,IAMAPP,APVXDWIN,PAVPROXY,vsmon,PERSWF,TAUMON,AVG
Control Center - FREE Edition,
NISUM.EXE,NISSERV.EXE,IAMAPP.EXE,NAVAPW32.EXE,NAVW32.EXE,Anti-Trojan.exe,iamapp.exe,
iamserv.exe,FRW.EXE,blackice.exe,blackd.exe,zonealarm.exe,vsmon.exe,WrCtrl.exe,
WrAdmin.exe,lockdown2000.exe,lockdown.exe,Sphinx.exe,VSHWIN32.EXE,VSECOMR.EXE,
WEBSCANX.EXE,AVCONSOL.EXE,VSSTAT.EXE,StartupMonitor.exe,protectx.exe,avpcc.exe,avpm.exe, alogserv.exe,RuLaunch.exe,Navapw32.EXE,navapsvc.EXE,ATRACK.EXE,SymPxSvc.EXE,NMain.EXE,
PAVPROXY.EXE,zapro.exe,zalus.exe,PERSWF.EXE,TAUMON.EXE,BlackICE.exe,blackd.exe ,
AVGCC32.EXE,AVGW.EXE....
如果是98系统则注册为后台进程,使用户难以结束。
跟踪用户的鼠标位置,获得鼠标所在窗体的信息。
检查网络状况,如正连在互联网上直接连接外部网站。
打开并监听两个本地端口,端口号不定,等待远程连接,并准备将本地信息发送出去。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-4-29
