病毒名称:
Backdoor.Spoobot.a.enc
类别: 后门病毒
病毒资料:
破坏方法:
后门程序。遍历本地进程信息,连接外部主机。
后门与黑客程序。将自己拷贝到系统目录下,修改以下5处注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RealPlayer : %SysDir%%CurFile%
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
realplayer : %SysDir%%CurFile%
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
realplayer : %SysDir%%CurFile%
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
realplayer : %SysDir%%CurFile%
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
realplayer : %SysDir%%CurFile%
这样病毒就能随着每次开机而启动。
删除HKLM\Software\Microsoft\Windows\CurrentVersion\Run子键下面名称为
EXPlorer,TaskMon,
messnger的项。
创建名字为“hawk”的互斥体,保证只有一个病毒实例在运行。
搜索进程的exe模块,杀死包含下列字符串的进程
NMAIN,ANTIV,GTBOT,SDBOT,NOPDB,NVSVC,NPROT,VSHW,F-PROT,VIRUS,
SCAN,NORTON,
ZOME,WINROUTE
这样,不少著名反病毒软件就被结束了。
尝试连接外部主机
stine.dynup.net,stine.dyns.be,stine.ma.cx,stine.45z.com,
stine.kicks-ass.org,
stine.mine.nu,stine3.ath.cx,stine.yaboo.dk,stin3.lir.dk,
stine.kyed.com,
stine.dyndns.dk,stine.dyn.ph,stine.dyn.ro,stine.virulent.info,
stine.blazingweb.net...
搜索本地局域网机器,内部附有IPC口令字典,用户对机器密码比较粗心会导致被攻破。攻破后病毒将自身拷贝到其他机器的startup目录下。
内部附带了sysinternal公司的PSTools工具集中的工具PSExec,可以启动远程进程。
打开后门与黑客控制端通信。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-10