病毒名称(中文):
虚幻后门
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
176128
影响系统:
WinNT
病毒行为:
这是一个运行在NT系统的很具有迷惑性的后门病毒。用户电脑被安装该后门以后,该病毒将自己复制到系统目录并将它启动为系统服务进程,复制后的文件名与任务治理器名字仅仅最后一个字母不同,很轻易让人误以为是任务治理器。病毒创建的服务名字是:WindowSocketAPIService,对该服务的描述是:“传输客户端和服务器之间的网络程序借口(API)服务消息。假如服务停止,socketAPI消息不会被传输。假如服务被禁用,任何直接依靠于此服务的服务将无法启动。”,伪装成系统服务的模样,企图以假乱真。然后它打开后门供攻击者访问并控制中毒电脑。攻击者可以启动/停止木马、关闭电脑、列举进程、关闭指定进程、列举服务、关闭指定服务、工具指定的IP的指定端口、下载并运行网络上指定的程序、清除日志等。
1.当该木马安装以后,它将自己复制为%System%\taskmgn.exe,并将它启动为服务进程。
2.创建服务WindowSocketAPIService,修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowSocketAPIService
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=<病毒程序的全路径的十六进制UNICODE码>
"DisplayName"="WindowSocketAPIService"
"ObjectName"="LocalSystem"
"Description"="传输客户端和服务器之间的网络程序借口(API)服务消息。假如服务停止,socketAPI消息不会被传输。假如服务被禁用,任何直接依靠于此服务的服务将无法启动。"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowSocketAPIService\Security]
"Security"=<系统相关的十六进制码>
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowSocketAPIService\Enum]
"0"="Root\\LEGACY_WINDOWSOCKETAPISERVICE\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
3.安装该木马后,它在TCP端口3043开设后门。
4.攻击者可以对中此木马的电脑作一下操作:
启动(-run)/卸载(-remove)木马;
重启系统(-rboot);
关闭系统(-shutdown);
列举进程(-enumpro);
杀指定ID的进程(-killproprocessId);
列举服务(-enumsrv);
杀指定服务名的服务(-killsrvServiceName);
列举系统信息(-sinfo),包括内存信息、系统版本信息、系统运行时间、计算机名、Window安装目录以及系统目录等等;
攻击指定IP的指定端口(-synipport);
从指定的网址下载文件到当前目录的指定文件(-downloadipfilename);
清理日志(-cleanlog);
帮助信息(-help)。
