病毒名称:
Backdoor.Dumador.a.enc
类别: 后门病毒
病毒资料:
破坏方法:
一个后门程序:
该病毒运行后,将自己复制到system目录,windows目录,开始菜单的启动项
文件名为
Load32.exe,Rundllw.exe,Dllreg.exe,VxdMgr32.exe。
并在注册表中加入自己的键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Load32
病毒在windows目录中释放一个名为guid32.dll的文件(该程序负责对键盘操作进行记录)
病毒建立5个线程分别用以实现:
1.监听1000端口实现一个类似FTP的服务端。以方便作者对被控制的系统进行文件操作
该服务器能实现的操作命令为:
user,pass,stor,port,pwd,list,cwd,retr,stor
mkd,rmd,rnfr,rnto,dele,syst,quit,type,rest
cdup
2.监听1001端口实现一个后门控制服务端。控制者使用控制台程序连接到系统后对其进行一些控制操作。该服务器能实现的操作命令为:
!exec,!quit,!cdopen,!cdclose,!screen,!msgbox,!sndplay
3.建立一个不可见的窗口,监听系统剪贴板的数据并它记录下来。
4.搜所WebMemory软件的用户信息文件。并把它发送到作者的email地址
5.该病毒把记录下的信息(键盘击键记录,剪贴板的数据,远程管理的帐号密码,记录的ICQ号,及本地系统ip)发送到一个指定信息。以方便作者通过后门对系统进行控制。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-7