病毒名称:
Backdoor.Spyboter.ab.enc
类别: 后门病毒
病毒资料:
破坏方法:
后门病毒,等待远程控制命令
一、病毒拷贝自身为系统目录的“WNLOGON.exe”,设置属性为“系统”、“隐藏”。
二、每隔30秒钟,修改注册表以自启动。防止用户手工删除。
1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Winsock2 driver" : WNLOGON.EXE
2 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunOnce
"Winsock2 driver" : WNLOGON.EXE
三、驻留内存,偷偷连接“asdfghj.dynu.com”,通知远程控制端。
四、监听TCP 113端口,接收远程控制命令,遍历、终止进程和线程、记录键盘操作。
五、删除下列系统常用工具,防止用户发现病毒。
NETSTAT.EXE、MSCONFIG.EXE、REGEDIT.EXE
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-5-20