病毒名称(中文):
虚假服务
病毒别名:
Backdoor.Qwin.08.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
23552
影响系统:
WinNT
病毒行为:
这该病毒将自己创建并伪装成为系统服务QoSserver,同时通过创建远程线程的方式将系统目录下的文件QoSServer.dll它加载到系统进程LASS.EXE中执行,然后打开特定端口作为后门。其中QoSServer.dll是一个木马文件,它将伪装成系统进程与外部通信,从而让攻击者控制用户的电脑。
1.修改注册表:
添加主键和键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QOSSERVER
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QOSSERVER\0000
"Service"="QoSserver"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="<系统相关>"
"DeviceDesc"="QoSserver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QOSSERVER\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="QoSserver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="<病毒的全路径>"
"DisplayName"="QoSserver"
"ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver\Security
"Security"="<系统相关>"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver\Enum
"0"="Root\LEGACY_QOSSERVER\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
2.将自己创建为自动运行的服务QoSserver。
3.创建远程线程,尝试将%System%\QoSServer.dll注入到进程LSASS.EXE中执行,在TCP端口8491打开后门。