病毒名称:
Backdoor.Peers.b.enc
类别: 后门病毒
病毒资料:
破坏方法:
后门程序,监听本地8961号端口。
vc写的后门,用upx加了壳。首次运行后将自己拷贝到系统目录,名字为sysctl.exe
修改注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
sysctl : sysctl.exe
系统配置文件win.ini
run=%WINDIR%\sysctrl.exe
并修改注册表项
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit :
这一项是系统启动时的运行参数。
这样病毒能够开机自启动。
病毒运行后不断检查网络状况,如正连上互联网则连接到远程主机。
监听本地8961号端口等待远程连接。
启动用户机器上的RASMAN服务,这是一个提供远程管理的服务,以供后门控制端使用。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-5-9