病毒名称(中文):
病毒别名:
Backdoor.Thunk.d[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
15392
影响系统:
Win9xWinNT
病毒行为:
该后门病毒释放一个dll病毒文件,并将该文件注册为Com组件,当启动explorer.exe的时候,就加载该dll文件。Dll文件获得运行之后,它打开后门,后门种植者通过该后门,秘密控制受感染机器;它到指定网址下载程序并运行;它将用户系统信息发送给后门种植者。
1.释放动态链接库%System%\child.dll(病毒名:Win32.Hack.Thunk.d.8912)。
2.注册该dll文件为Com组件。当启动explorer.exe的时候,就加载该dll文件。修改的注册表。
添加键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
"OLEAutomationModule"="{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"
添加主键和键值:
HKEY_CURRENT_USER\Software\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}
HKEY_CURRENT_USER\Software\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32
"默认"="%System%\child.dll"
"ThreadingModel"="Apartment"
HKEY_CLASSES_ROOT\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}
HKEY_CLASSES_ROOT\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32
"默认"="%System%\child.dll"
"ThreadingModel"="Apartment"
可能添加:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"OLEAutomationModule"="{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"
3.病毒child.dll获得运行之后会侦听一个随机端口,等待外界连接;它还到指定网址下载程序并运行。
4.将用户的系统信息发送给后门种植者。