病毒名称(中文):
病毒别名:
Backdoor.Win32.Jix.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
15360
影响系统:
Win9xWinNT
病毒行为:
这是一个后门病毒。病毒将自身复制的系统目录,并创建开机运行的服务“WUClient”,对该服务的描述是“WindowsUpdateClient”,以欺
骗用户;然后连接预定的IP和端口发送上线通知。后门种植者可以通过mIRC服务器、Shell等方式向中毒机器发送控制指令,从而可以获取中毒
机器的系统资料、上传下载文件、下载网络文件到中毒机器、窃取用户机密信息等。病毒还可以通过弱密码攻击局域网进行主动传播,假如连
接成功,则将自身复制到目标主机的系统目录。
1.将自身复制到%system%目录,可能为以下名字:
upnphost.exe
pnphost.exe
winpnp.exe
2.创建开机运行的服务“WUClient”,对注册的修改:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WUClient]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%System%\<包含pnp的文件名>"
"DisplayName"="WindowsUpdateClient"
"ObjectName"="LocalSystem"
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,c0,45,0b,00,01,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WUClient\Security]
"Security"="<系统相关>"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WUClient\Enum]
"0"="Root\\LEGACY_WUCLIENT_\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
3.连接预定的IP和端口发送上线通知,后门种植者可以通过mIRC服务器、Shell等方式向中毒机器发送控制指令。
4.到预定的FTP服务器下载文件到本地计算机运行。
5.病毒还可以通过弱密码攻击局域网进行主动传播,假如连接成功,则将自身复制到目标主机的系统目录。
