病毒名称(中文):
潜伏者
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
157696
影响系统:
Win9xWinNT
病毒行为:
这是一个适应性很强的后门病毒。它针对不同系统采取了不同的后门技术。在WinNT系统中,该病毒释放文件到系统存放驱动程序的目录并将它启动为系统服务进程,复制后的文件名svchost.exe为系统文件名。很轻易让人误以为是系统进程。病毒创建的服务名字是:TSERV对该服务的描述是:“提供TCP/IP(Services)服务上的Services和网络上客户端的Services名称解析的支持,从而使用户能够共享文件、打印和登录到网络。假如此服务被停用,这些功能可能不可用。假如此服务被禁用,任何依靠它的服务将无法启动。”,伪装成系统服务的模样,企图以假乱真。然后它向指定的网址发送上线通知并打开后门供攻击者访问并控制中毒电脑。在Win9X系统中,它释放出驱动程序并加载,通过驱动程序实现类似上述功能,荫蔽性更强,危害更大。
1.在WinNT系统中它释放文件为%System%\drivers\svchost.exe,文件大小为36864字节,并将它启动为服务进程。在Win9X系统中它释放如下文件并加载:
%System%\npf.vxd(22627字节)
%System%\PACKET.DLL(61440字节)
%System%\PTHREADVC.DLL(53299字节)
%System%\WPCAP.DLL(225280字节)
%System%\RUND11.EXE(32768字节)
2.在WinNT系统中创建服务WindowSocketAPIService,修改注册表:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSERV]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=<病毒程序的全路径的十六进制UNICODE码>
"DisplayName"="TCP/IPService"
"ObjectName"="LocalSystem"
"Description"="提供TCP/IP(Services)服务上的Services和网络上客户端的Services名称解析的支持,从而使用户能够共享文件、打印和登录到网络。假如此服务被停用,这些功能可能不可用。假如此服务被禁用,任何依靠它的服务将无法启动。"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSERV\Security]
"Security"=<系统相关的十六进制码>
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSERV\Enum]
"0"="Root\\LEGACY_TSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
在Win9X系统中则加载驱动程序npf.vxd。
3.WinNt系统中打开后门,并向指定网址发送上线通知。在Win9X系统中加载驱动程序,打开后门,并向指定网址发送上线通知。
