病毒名称(中文):
地狱之门
病毒别名:
Backdoor.Win32.Proxydor.c[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
44032
影响系统:
Win9xWinNT
病毒行为:
这是一个黑客程序,当用户的机器感染了该病毒后,假如使用IE浏览器访问某些恶意网页,该病毒就会在随机的TCP端口建立SOCKS代理,并偷偷地下载病毒文件windows-update32.exe到Windows的Startup目录下。该病毒还会连接到一台位于www.earthlabs.biz域的服务器,并将染毒机器的后门版本号和IP地址传送到该服务器上;监听TCP的9867端口,等待接受攻击者从远处发送来的命令以采取下一步破坏动作。该病毒可能会导致用户的重要数据信息丢失、机器被黑客完全控制等恶性后果。
1)建立互斥体“w32”,确保只有一个进程。
2)拷贝病毒自身到%System%\w32.exe
3)建立服务“WindowsServiceApplication”
4)在注册表中添加启动项,以实现病毒的开机自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"w32"="%System%\w32.exe"
