病毒名称(中文):
病毒别名:
Backdoor.DSNX.05.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
234948
影响系统:
Win9xWinNT
病毒行为:
该病毒将自己复制到系统目录,更名的随机文件名,然后加载到启动项,以达到开机运行的目的。然后它释放一个驱动程序,然后以服务的形式加载,加载后病毒将该驱动程序删除。该驱动程序定时将病毒加载到启动项,确保每次开机病毒都有机会运行。该病毒会打开后门,监听TCP端口113,并向指定IRC服务器发送上线通知,等待黑客发送命令。
1.将自身复制到系统目录%System%下,并取一个随机文件名。然后释放一个驱动程序Cdcd.sys(12977字节),然后以服务的形式加载,加载后病毒将该驱动程序删除。
2.修改注册表。
添加启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WinDSNX"="<随机文件名>"
创建服务Cdsys,以此加载驱动程序,这是WinNT系统加载驱动程序的常用方式:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CDSYS
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CDSYS\0000
"Service"="Cdsys"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Cdsys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CDSYS\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="Cdsys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdsys
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"="\??\%System%\cdcd.sys"
"DisplayName"="Cdsys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdsys\Security
"Security"="<系统相关16进制码>"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdsys\Enum
"0"="Root\\LEGACY_CDSYS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
3.开放TCP后门端口:113,连接指定的IRC服务器发送上线通知,等待黑客连接并控制中毒机器。
4.驱动程序定时将病毒加载到启动项,确保每次开机病毒都有机会运行。