病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
54421
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个后门程序。该病毒会利用系统漏洞及用户弱口令感染其他连网的机器,
并留后门供黑客控制受感染机器。
1、生成的文件
%SystemRoot%\system32\xebmon.exe
2、添加系统服务,随机器启动
HKLM\System\CurrentControlSet\Services\xebmon
"Type"="0x110"
HKLM\System\CurrentControlSet\Services\xebmon
"Start"="0x2"
HKLM\System\CurrentControlSet\Services\xebmon
"ImagePath"="%SystemRoot%\system32\xebmon.exe"
HKLM\System\CurrentControlSet\Services\xebmon
"DisplayName"="xebmon"
3、该病毒会扫描并连接网络中的ipc$等共享。
4、该病毒会收集感染机器信息。
5、修改%SystemRoot%\system32\drivers\etc\hosts文件
127.0.0.1www.symantec.com
127.0.0.1securityresponse.symantec.com
127.0.0.1symantec.com
127.0.0.1www.sophos.com
127.0.0.1sophos.com
127.0.0.1www.mcafee.com
127.0.0.1mcafee.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1www.viruslist.com
127.0.0.1viruslist.com
127.0.0.1viruslist.com
127.0.0.1f-secure.com
127.0.0.1www.f-secure.com
127.0.0.1kaspersky.com
127.0.0.1kaspersky-labs.com
127.0.0.1www.kaspersky.com
127.0.0.1www.networkassociates.com
127.0.0.1networkassociates.com
127.0.0.1www.ca.com
127.0.0.1ca.com
127.0.0.1mast.mcafee.com
127.0.0.1my-etrust.com
127.0.0.1www.my-etrust.com
127.0.0.1download.mcafee.com
127.0.0.1dispatch.mcafee.com
127.0.0.1secure.nai.com
127.0.0.1nai.com
127.0.0.1www.nai.com
127.0.0.1update.symantec.com
127.0.0.1updates.symantec.com
127.0.0.1us.mcafee.com
127.0.0.1liveupdate.symantec.com
127.0.0.1customer.symantec.com
127.0.0.1rads.mcafee.com
127.0.0.1trendmicro.com
127.0.0.1pandasoftware.com
127.0.0.1www.pandasoftware.com
127.0.0.1www.trendmicro.com
127.0.0.1www.grisoft.com
127.0.0.1www.microsoft.com
127.0.0.1microsoft.com
127.0.0.1update.microsoft.com
127.0.0.1www.virustotal.com
127.0.0.1virustotal.com
127.0.0.1www.ahnlab.com
127.0.0.1suc.ahnlab.com
127.0.0.1auth.ahnlab.com
127.0.0.1ahnlab.com
6、该病毒会生存并运行uninstall.bat批处理文件实现自删除。