病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
183296
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个供黑客远程控制的后门病毒。该病毒运行时,首先拷贝自身到%windows%\sysrs.exe,然后添加注册表启动项,使自身能随开机启动。该病毒使黑客通过IRC聊天室向病毒发送命令来控制用户的主机,使用户沦为“肉鸡”,该病毒会发出udp,icmp等协议的洪水攻击。
1,生成文件
%windows%\sysrs.exe
2,添加注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCModule
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVCModule
"ImagePath"="%windows%\sysrs.exe"
3,自我保护
如发现自身在虚拟机里,将不发作,并删除病毒体。
通过以下注册表信息判定是否在虚拟机里
HKLM\SOFTWARE\VMware,Inc.\VMwareTools
"InstallPath"
HKLM\SOFTWARE\VMware,Inc.\VMwareTools
"ShowTray"
4,IRC聊天室控制命令
Botsniff
IRCsniff
FTPsniff
ackflood
icmpflood
synflood
phatwonk
udpflood
kill
login
logout
等
