病毒名称(中文):
欧斯132
病毒别名:
Backdoor.Optix.b[AVP]OptixPro.13[NAV]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
Delphi
传染条件:
发作条件:
系统修改:
A、根据木马内置的设置,将自身复制两份到"%SystemRoot%"或"%System%"目录下。文件名在配置时指定
B、根据木马内置设置,可能在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
或HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下添加健值。
键值名,根据木马内置设置,键值数据为木马路径。
C、修改EXE文件关联:
HKEY_CLASSES_ROOTexefileshellopencommand
HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand
D、根据木马内置设置,可能在"%SystemRoot%System.ini"文件中,boot节添加一条
"Shell=Explorer.exe<木马路径>"
根据木马内置设置,可能在"%systemRoot%win.ini"文件中的windows节,添加一条
"Run=<木马路径>"
发作现象:
A、开端口,端口按木马内置设置,默认为3410
B、可以通过ICQ、CGI、MSN、IRC、PHP、SMTP的方式通知控制者
C、可以中止木马内置列表中的任意进程(多为防火墙进程)。
D、可以中止配置木马时指定的系统服务
E、黑客可以通过该后门进行一系列的非授权控制,如:
注销、关机、重启、获取系统信息、
上传下载文件、执行程序、修改、删除文件
显示用户的进程列表并中止指定进程
其他还有最大最小化窗口、注册表操作、启动服务……等
非凡说明:
这是一个后门程序,具有极强的可定制性:从文件名到图标到行为,较难发现。