病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
236921
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
Radmin是一款方便实用的远程控制软件,但由于其提供了隐藏安装及隐藏运行模
式,所以会被病毒所利用。这正是一个利用远程控制软件Radmin服务端程序的后
门病毒,病毒携带Radmin的服务端程序,一旦运行,会将其释放并隐藏安装并运
行,用户在完全不知晓的情况下被安装了后门。
1.病毒从资源中释放加过壳的Radmin服务端程序,将其拷贝到%SYSTEM%目录下,
命名为systemram.exe,同时释放两个注册表配置文件radmin.reg和firewall.reg。
2.病毒在每次运行的开始,首先利用命令行选项将已运行的systemram.exe服务停
止,然后将systemram.exe进行隐藏安装。radmin.reg文件被用来进行注册表安
装,firewall.reg文件用来开启1986TCP端口,使systemram.exe能够绕过系统
防火墙。服务安装结束后,病毒会开启这个服务,并将两个注册表配置文件删
除。
3.systemramm服务安装完成后,病毒又生成Clear.bat文件,然后运行这个批处理
文件,将自身删除。
