病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
23552
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Win32平台的后门程序,病毒通过与特定网站连接。开启后门,答应远程攻击者非授权进入被感染计算机。盗取被感染计算机用户的密码,将盗取的信息发送给黑客。对用户隐私造成严重威胁。
1、复制病毒:
%System%\loadms.exe
%System%\cmpku.exe
%System%\netcompt.exe
%System%\ptsnopt.exe
%System%\ntdllf.exe
%windir%\mapserver.exe
%Root%\Iexplores.exe(从D-Z盘)
A:\demon.exe
%Root%\AutoRun.inf(从D-Z盘)
A:\Desktop.ini
A:\folder.htt(大小:3833byte)
2.添加自启动项:
win.ini
win.ini
run=%windir%\System\病毒文件名.exe(forwin9x)
%Root%\DocumentsandSettings\AllUsers\菜单\程序\启动\IEInit.exe(Winnt内核系统上)
%Root%\Windows\menu\程序\启动\IEInit.exe(win9x)
3.注册表添加自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmpnt"="C:\\WINNT\\system\\cmpku.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Shell"="c:\\winnt\\system\\mainsv.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Ntcheck"="C:\\WINNT\\mapserver.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
"Cmpnt"="c:\\winnt\\system\\mainsv.exe"
4.降低IE安全属性:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\(0-3)
1001=0(DWORD)
1004=0(DWORD)
1200=0(DWORD)
1201=0(DWORD)
5.病毒保存设置注册表项:
[HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\Doom\Shadow]
"Conteo"=value
6.访问特定网站:
http://www26.brinkster.com/
