病毒名称(中文):
遗忘1.0
病毒别名:
Backdoor.Oblivion.01.a【AVP】
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
9780
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
编写工具:LCC-Win32
传染条件:
发作条件:
系统修改:
A、将复制自己为%System%(9X的%SystemRoot%system或NT/2K的%SystemRoot%system32)如下文件,可能会立即执行:
%System%Kernel32.pif
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalledComponentsWin32Kernelcorecomponent
添加以下键值
"StubPath"="C:WINDOWSSystem32Kernel32.pifASC"
可能在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加以下键值:
"StubPath"="C:WINDOWSSystem32Kernel32.pif"
可能在注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
添加以下键值:
"StubPath"="C:WINDOWSSystem32Kernel32.pif"
可能在注册表主键:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows
添加以下键值:
"load"="C:WINDOWSSystem32Kernel32.pif"
"run"="C:WINDOWSSystem32Kernel32.pif"
可能在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon
添加以下键值:
"Shell"="Explorer.exeKernel32.pif"
C、可能修改C:WindowsSYSTEM.INI的节
[boot]
"Shell"="Explorer.exeKernel32.pif"
D、可能修改C:WindowsWin.ini的节
[windows]
"load"=""
"run"="c:WindowsKernel32.pif"
发作现象:
A、在TCP端口2004打开后门,并答应黑客凭密码远程访问感染的计算机,监听黑客发来的命令。
B、将用户的操作系统类型,计算机名字,IP地址,开放端口,访问密码,木马版本信息等等发送给木马种植者设置的网址。
非凡说明:
