病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
1031759
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下后门型病毒,病毒运行后将自身伪装成系统正常,用于迷惑用户,时时判定网络状态,当网络资源可用时,病毒尝试通过网络将中病毒的机器IP信息发送到病毒作者指定的网站。使病毒作者可以远程完全操控被感染的用户机器,如下载,添加删除文件,查看用户其它隐私信息等,给用户隐私造成严重影响。
病毒主要通过捆绑软件或欺骗方式进行感染。
1、病毒运行后将自身复制到用户回收站文件夹下,并取名为系统正常文件名,使用户误认为是系统文件。一般生成以下文件:
C:\RECYCLER\services.exe
C:\RECYCLER\taskmgr.exe
C:\RECYCLER\smss.exe
C:\RECYCLER\csrss.exe
C:\RECYCLER\lsass.exe
C:\RECYCLER\svchost.exe
C:\RECYCLER\services.scr
C:\RECYCLER\taskmgr.scr
C:\RECYCLER\smss.scr
C:\RECYCLER\csrss.scr
C:\RECYCLER\lsass.scr
C:\RECYCLER\svchost.scr
2、病毒通过修改以下注册表部分,使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell"="explorer.exeC:\\RECYCLER\\xxx.exe"
3、病毒运行后发现有可用的网络资源后,尝试通过邮件或ftp方式发送被感染的机器的信息至病毒作者。
4、病毒运行过程中同时会锁定CTRL+ALT+DEL键,使用户无法使用Windows任务治理器。
5、病毒作者收到被感染的机器的IP等信息后,连接被感染的机器。连接成功后病毒可以实时监控用户屏幕、打开、修改、删除用户文件等等。
