病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
372736
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个后门病毒,病毒会被打开网络端口,随时预备接受
黑客的控制。
1.病毒运行后,首先提高自身权限,然后将自身拷贝到%SYSTEM%目录下,
命名为MoonShadow.exe,并释放两个动态链接文件MoonShadow.dll
(270,024字节,毒霸可查),和MoonShadowHook.dll(57,344字节,
毒霸可查)。
2.病毒在注册表中添加以下键值,打开网络端口:
"HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\...
Parameters\FirewallPolicy\StandardProfile\...
GloballyOpenPorts\List"
"2046:TCP*Enabled"
3.病毒在注册表中添加启动项,以实现开机自启:
"HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\"
"%SYSTEM%\ShadowMoon.exe"
4.病毒注入svchost.exe系统进程,利用ShadowMoon.dll和ShadwoMoonHook.dll,
创建多个线程,使系统留下后门。
