病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
36283
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个黑客后门程序,病毒运行后会连接远程主机,使用户受控于黑客。
1、释放病毒文件到如下路径:
C:\ProgramFiles\firefly-remote\Install.DLL
C:\ProgramFiles\firefly-remote\Firefly.ini
C:\ProgramFiles\firefly-remote\Firefly.exe
2、添加如下注册表项,注册服务,开机自动启动:
HKLM\System\CurrentControlSet\Services\RemoteControl
Type=0x110
HKLM\System\CurrentControlSet\Services\RemoteControl
Start=0x2
HKLM\System\CurrentControlSet\Services\RemoteControl
ErrorControl=0x0
HKLM\System\CurrentControlSet\Services\RemoteControl
ImagePath="C:\ProgramFiles\firefly-remote\firefly.exe"
HKLM\System\CurrentControlSet\Services\RemoteControl
ObjectName="LocalSystem"
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL
NextInstance=0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL\0000\Control
*NewlyCreated*=0x0
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL\0000
Service="RemoteControl"
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL\0000
Legacy=0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL\0000
ConfigFlags=0x0
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL\0000
Class="LegacyDriver"
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL\0000
ClassGUID="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_REMOTE_CONTROL\0000
DeviceDesc="RemoteControl"
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\RemoteControl\Enum
0="Root\LEGACY_REMOTE_CONTROL\0000"
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\RemoteControl\Enum
Count=0x1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\RemoteControl\Enum
NextInstance=0x1
3、插入IE进程,连接远程主机,等待黑客命令。
