| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Hack.IRCBot.ir

來源:互聯網  2008-08-14 22:44:45  評論

病毒名稱(中文):

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

黑客程序

病毒長度:

75776

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個黑客後門程序,病毒運行後會關閉Windows的一些安全服務,連接遠程IRC服務器,使用戶受控于黑客。

1、病毒運行後複制自身到%system%\lviss.exe,並運行,退出原病毒進程並刪除文件。

2、修改注冊表,添加名爲WindowsPEDebugger的服務,並設置其爲開機自動啓動。

3、創建如下注冊表項及其子鍵,並將其驅動程序指向病毒剛剛創建的服務:

HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER

4、修改如下注冊表項,關閉及禁用Windows防火牆,關閉自動更新禁止安裝sp2補丁,並禁用以下系統服務SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚舉用戶、關閉系統默認共享:

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

"EnableFirewall"=0x0

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

"EnableFirewall"=0x0

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate]

"AUOptions"=0x1

[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]

"Start"=0x4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]

"restrictanonymous"=0x1

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=0x0

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]

"AutoShareServer"=0x0

[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"DoNotAllowXPSP2"=0x1

5、從網絡上下載病毒文件到如下目錄:

C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe

C:\WINDOWS\TEMP\eraseme_25413.exe

6、連接遠程IRC服務器的6667端口,等待黑客命令。

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 黑客程序 病毒長度: 75776 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個黑客後門程序,病毒運行後會關閉Windows的一些安全服務,連接遠程IRC服務器,使用戶受控于黑客。 1、病毒運行後複制自身到%system%\lviss.exe,並運行,退出原病毒進程並刪除文件。 2、修改注冊表,添加名爲WindowsPEDebugger的服務,並設置其爲開機自動啓動。 3、創建如下注冊表項及其子鍵,並將其驅動程序指向病毒剛剛創建的服務: HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER 4、修改如下注冊表項,關閉及禁用Windows防火牆,關閉自動更新禁止安裝sp2補丁,並禁用以下系統服務SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚舉用戶、關閉系統默認共享: [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] "EnableFirewall"=0x0 [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] "EnableFirewall"=0x0 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate] "AUOptions"=0x1 [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr] "Start"=0x4 HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Services\Messenger] "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=0x1 [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareWks"=0x0 [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters] "AutoShareServer"=0x0 [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "DoNotAllowXPSP2"=0x1 5、從網絡上下載病毒文件到如下目錄: C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe C:\WINDOWS\TEMP\eraseme_25413.exe 6、連接遠程IRC服務器的6667端口,等待黑客命令。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有