病毒名称(中文):
潜行隐者
病毒别名:
Trojan.PSW.Mifeng.d[AVP]
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
352557
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
A、将自制复制到:
"%System%<原始文件名>.exe"
"%SystemRoot%IsUninst.exe"
"%SystemRoot%IsUn0404.exe"
"%SystemRoot%IsUn0804.exe"
B、覆盖"%System%"目录下面的所有屏幕保护程序(*.scr)。
C、覆盖C:AUTOEXEC.BAT,内容为:
netstop"InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)">>C:BOOTEX.LOG
试图停止InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)"服务
该命令会导致C盘要目录下生成一个C:BOOTEX.LOG文件
D、在注册表主键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下新健健值:
"internet"="%System%<原始文件名>.exe"
以便开机自动运行
E、修改文件关联,在注册表主键
HKEY_CLASSES_ROOTxtfileshellopencommand
HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand
下将键值"(默认)"修改为
"(默认)"="%System%<原始文件名>.exe""%1""
系统默认值为:
"(默认)"=%SystemRoot%system32NOTEPAD.EXE%1
以便打开txt文件的时候启动病毒
F、将注册表主键HKEY_CURRENT_USERControlPanelDesktop下的键值改为:
"ScreenSaveActive"=1
"ScreenSaveTimeOut"=60
"SCRNSAVE.EXE"="%System%sstext3d.scr"
以便在系统空闲一分钟后马上激活病毒(屏幕保护程序已经被病毒覆盖)
这几个键值的系统默认值为:
"ScreenSaveActive"=0
"ScreenSaveTimeOut"=900
"SCRNSAVE.EXE"=""
发作现象:
A、关闭防火墙
B、打开2222端口(UDP)监听远程连接请求。
非凡说明: