病毒名称:
Win32.Hack.HacDef.b
类别: 黑客程序
病毒资料:
这是一个用了rootkit技术的后门,不但很好的隐藏自己,还有很强的自我保护功能。
1:释放文件
病毒被运行后,会在C:\Windows\System32\下面释放两个
文件,并使用了以下几个随机文件名(*表示不定值)
mlsdf8**********.exe
sklrr7y**********.exe
mlsdf8h**********.exe
nlkfev7**********.exe
dior4f4**********.exe
从中选取两个文件名,释放两个病毒文件,病毒名分别为
Win32.Hack.HacDef.b.94208和Win32.Hack.HacDef.b.96800
2:创建一个服务
病毒会创建两个服务,服务名分别为"SpoolSvc200"和"Time"
分别指向这两个病毒文件,并设为自启动。这两个服务不但是病毒,
也是另外一个进程的守护进程,当一个发现另外一进程被中止时,
就会立刻创建新的进程,以确保至少有一个病毒进程在系统中运行。
3:使用了Rootkit
病毒使用rootkit技术隐藏自己的进程,文件,服务项,打开端口等
大大增加了查杀的难度。
4:开放端口
病毒通常状态下不主动打开端口,而是监听某一端口上的信息,一但
接收到黑客发来的数据包后,就打开一个端口与外界连接,并且使用了rootkit
隐藏端口。黑客就可以控制受感染机,并很容易的取得想得到的信息。
建议用户不要运行来历不明的文件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-7-27