病毒名称(中文):
病毒别名:
Backdoor.IcmpCmd.10[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
15595
影响系统:
Win9xWinNT
病毒行为:
这是一个通过命令行启动的后门病毒,它将自身的一个副本创建为开机运行的系统服务并加载,然后开设Icmp后门,下载指定网络文件并运行,该病毒可以穿过默认设置的防火墙,将给中毒用户带来难以猜测的危害。
1.当给该病毒传递Install命令后,它将自身复制为%System%\ntkrnl.exe,并将其创建为开机运行的系统服务并加载。
2.修改注册表,以创建服务ntkrnl。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntkrnl
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%System%\ntkrnl.exe"
"DisplayName"="ntkrnl"
"ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntkrnl\Security
"Security"="<系统相关>"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntkrnl\Enum
"0"="Root\\LEGACY_NTKRNL\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTKRNL
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTKRNL\0000
"Service"="ntkrnl"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="<系统相关>"
"DeviceDesc"="ntkrnl"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTKRNL\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="ntkrnl"
3.开启ICMP后门,接受外界黑客发来的指令。比如下载网络文件并运行。
