病毒名称(中文):
恶兽
病毒别名:
Backdoor.BeastDoor.205[AVP]Backdoor.Beast.205[KV]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
47237
影响系统:
Win9xWinNT
病毒行为:
这是一个后门程序,称其为恶兽实不为过。该病毒的感染方式和启动方式不是固定的,它既可以用常规方法通过修改注册表添加启动项来加载,还可以把自己注入到“winlogon.exe”,“SYSTRAY.EXE”等系统进程以及“explorer.exe”,“IEXPLORE.EXE”等常用进程,再加上病毒大小,图标,名称等信息都是可变的,用户很难察觉该病毒的存在。它会结束掉一些常见的病毒防火墙,盗取用户的所有上网信息,远程控制用户电脑,任意上传和下载文件,偷窥用户隐私等,严重危害用户的数据安全。
建议:中了此病毒的用户请创建一个非治理员帐号,然后用此帐号登陆系统。由于该病毒无法在非治理员用户机器上正常运行,从而可以轻松杀掉病毒文件。
1.在感染计算机上释放下列文件:
%WinDir%\dxdgns.dll,28756字节,UPX压缩,解压以后是64596字节
2.将自己复制为
%SystemRoot%\msagent\msudsm.com,
%SystemDir%\mswkrr.com,47237字节
两个病毒文件的副本都是47237字节,UPX压缩,解压以后是61573
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
以及
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"COMService"=%ystemRoot%\msagent\msudsm.com
这样,在windows启动时,病毒就可以自动执行。
3.关闭系统还原,防止用户通过系统还原清除病毒。
4.该病毒可以截取用户的所有键盘输入,并可以把用户在电脑上的所进行的操作进行全盘记录生成完整的log文件,给用户的隐私带来了很大的危险。
5.该病毒在端口8183侦听,具有远程监控的功能,黑客连接该端口可以监控感染病毒的计算机,在不经任何授权的情况下,非法观看远程桌面、远控鼠标、键盘,以及所有资源/文件,并可以控制上传下载。
6.该病毒自动检测感染计算机是否安装防火墙一旦发现就强行结束,使其无法检测到黑客的远程登陆。
7.该病毒以远程线程方式注入到“winlogon.exe”,“SYSTRAY.EXE”,“explorer.exe”,“IEXPLORE.EXE”,等系统进程中,具有更隐蔽行,并且注入到“winlogon.exe”中的病毒(dxdgns.dll)监视注入到其他进程中的病毒,一旦发现没有了该病毒,它又会重新注入,极其顽固、狠毒的病毒,给病毒的查杀带来了一定困难。
8.该病毒可以按反弹端口方式进行反向连接,这样就可以穿透一般防火墙,渗透到内部网络,这就给许多公司的内部信息带来了极大的安全隐患。