病毒名称(中文):
巨鼠变种18
病毒别名:
Backdoor.Prorat.18[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
5184
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
upx压缩,delphi编写
传染条件:
用户误运行
发作条件:
会在系统开设后门等待攻击者的远程控制
系统修改:
1,拷贝自身到:
%System%Main.exe
%System%Loader.exe
%System%Msmsg.exe
%System%Winserv.dll
%System%Fservice.exe
%System%Sservice.exe
%Windir%Winlogon.exe
2,生成
%System%wininv.dll
%System%winkey.dll
3,向注册表添加:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalledComponents{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
键值可能为:
"MSNMESENGER"="%System%Main.exe"
"DirectXforMicrosoftWindows"="%System%Fservice.exe"
"DirectXforMicrosoftWindows"="%System%Sservice.exe"
"StubPath"="C:WindowssystemSservice.exe"
4,修改注册表键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon
"explorer.exe%System%Fservice.exe"
5,在tcp50000-60000之间随机端口开设后门
6,向Winlogon注入dll,来监视用户的一些操作,防止木马主程序被结束掉.
发作现象:
本机会有下列文件:
%System%Main.exe
%System%Loader.exe
%System%Msmsg.exe
%System%Winserv.dll
%System%Fservice.exe
非凡说明: