病毒名称(中文):
蜜蜂大盗
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
374573
影响系统:
Win9xWin2000
病毒行为:
编写工具:
bcb编写
传染条件:
用户误运行
发作条件:
运行后在用户系统设置后门,同时泄漏用户本机的一些信息,如主机名,ip等
系统修改:
1,拷贝自身到:
%System%<原始文件名>.exe.tmp
%System%<原始文件名>.exe
%Windir%IsUninst.exe
%Windir%IsUn0404.exe
%Windir%IsUn0804.exe
2,把%System%下所有扩展名为.scr的文件用自身覆盖.
3,添加注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"internet"="%System%.exe"
4,修改注册表键值:
HKEY_CLASSES_ROOTxtfileshellopencommand
"(Default)"="%System%.exe""%1"
HKEY_CURRENT_USERControlPanelDesktop
"ScreenSaveTimeout"="60"
5,添加键值:
HKEY_CURRENT_USERControlPanelDesktop
"SCRNSAVE.EXE"="%System%sstext3d.scr"
6,覆盖C:AUTOEXEC.BAT的内容为:
netstop"InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)">C:BOOTEX.LOG
7,在UDP2222端口开设后门,等待攻击者的链接.
8,同时记录键盘按键,进行屏幕截图,进行收集用户信息的行动.
发作现象:
用户会发现C:AUTOEXEC.BAT的内容为:
netstop"InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)">C:BOOTEX.LOG
非凡说明: