病毒名称(中文):
隐藏后门
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
126976
影响系统:
Win9xWinNT
病毒行为:
这个一个木马控件,通过别的的程序加载运行。当该病毒被激活之后就释放一个驱动程序并通过服务方式加载,服务名字为“netwall”,该驱动程序是一个很隐藏的木马服务端,打开后门端口等待黑客连接。病毒可以穿透防火墙和外界通信,用户的信息、帐号密码、文件资料都可能悄无声息中被窃取。
1.根据操作系统的语言释放驱动文件。
中文版操作系统:
%system%\drivers\netwall.sys
英文版操作系统:
%system%\drivers\netwallEn.sys
然后创建服务“netwall”加载驱动程序,然后删除该文件。
2.创建服务,修改注册表。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netwall]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"="\??\C:\WINNT\system32\Drivers\netwall.sys"
"DisplayName"="netwall"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netwall\Security]
"Security"=<系统相关>
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netwall\Enum]
"0"="Root\\LEGACY_NETWALL\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
3.与病毒相关的还包含一个病毒配置程序,用来配置访问中毒机器的密码;一个用来连接中毒机器的控制端。控制端可以通过扫描中毒机器开放的端口来连接到中毒机器,从而控制中毒机器。
