病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
51200
影响系统:
Win9xWinNT
病毒行为:
该病毒首先创建事件,防止病毒的多个实例同时运行,将自己复制到系统目录,将自己加载到注册表中的启动项,然后打开一个随机端口等等黑客连接。它会到指定的IP和端口去下载文件cssddan.exe并运行,使得机器又感染一种病毒。它会通过自带的一个密码表,暴力破解远程主机,直接将自身复制到远程主机的某些默认共享的目录,假如复制成功,就会远程添加任务调试,让病毒在远程主机上自动运行,因而会感染感染更多的主机,使得局域网瘫痪。它还不停的开线程对某些IP段的445端口进行SYN攻击,导致中毒机器资源耗尽而崩溃。
1.创建事件fqbqkk,防止病毒的多个实例同时运行。
2.病毒将自身复制到:"%System%\cxe.exe"
3.在注册表主键
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添加键值:
"MSNMessengerd"="cxe.exe"
4.当检测到连接了网络后,病毒开启后门,监听随机TCP端口,等待黑客连接。
5.连接的指定IP地址的指定端口,下载文件cssddan.exe并运行。
6.病毒通过自带的一个密码表,暴力破解远程主机,直接将自身复制到远程主机的如下目录之一:
"%RemoteComputer%\\Admin$\cssddan.exe"
"%RemoteComputer%\\c$\winnt\system32\cssddan.exe"
"%RemoteComputer%\\IPC$\cssddan.exe"
"%RemoteComputer%\\c$\shared\cssddan.exe"
"%RemoteComputer%\\c\cssddan.exe"
"%RemoteComputer%\\C$\DocumentsandSettings\AllUsers\Documents\cssddan.exe"
"%RemoteComputer%\\c$\windows\system32\cssddan.exe"
假如复制成功,就会远程添加任务调试,让病毒在远程主机上自动运行。
7.不停的创建线程对某些IP段的445端口进行SYN攻击,最终将导致中毒机器资源耗尽而崩溃。