病毒名称(中文):
病毒别名:
Backdoor.Win32.Singu.x[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
286720
影响系统:
Win9xWinNT
病毒行为:
这是一个开启后门以盗取各种密码的后门病毒。它释放两个DLL文件分别注入到系统进程Explorer.exe和用户进程,将自身加载到注册表的自启动项。该病毒会尝试关闭大量的病毒防火墙和网络防火墙,使得中毒用户的机器安全性能大大下降。然后病毒将盗取的各种密码,如BIOS密码,系统缓存密码(如IE保存的密码,FTP密码等),OutLook密码,FoxMail密码,屏幕保护密码等。病毒还会开启后门,让后门种植者控制中毒机器。
1.将自身复制为%systemRoot%\svchost.exe并运行,释放DLL文件
%systemRoot%\svchost.dll(Win32.Hack.Singu.t)
%system%\_UsbDriver_.dll(Win32.Hack.Singu.t)
然后病毒将svchost.dll通过HOOK消息的方式注入到Explorer.exe进程中,将_UsbDriver_.dll注入到病毒运行之前的所有用户进程中。
2.修改注册表。
添加键值,将自身添加到注册表启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"lsass"="%systemRoot%\svchost.exe"
3.尝试关闭大量病毒防火墙,包括常见的金山网镖、天网防火墙等。
4.连接指定网址,发送中毒机器的系统信息,包括各种密码:
BIOS密码,系统缓存密码(如IE保存的密码,FTP密码,OutLook密码,FoxMail密码等),屏幕保护密码。
5.病毒还会开启后门,让后门种植者控制中毒机器。