病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
120320
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个后门病毒,它能接收黑客发来的IRC指令进行工作,包括
收集信息,攻击其它IP地址,下载/上传指定文件,Ddos(拒绝服务攻击)等功能,
它还能向局域网其它机器发送大量的垃圾数据,阻塞了局域网。
1:拷贝文件
病毒被运行后,会把自己拷贝到%system%目录下,并命名为asus.exe,
之后会删除自己。
2:更改注册表
病毒会更改以下4处注册表的值,使自己能随Windows启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesAsusMotherBoardUtility->"asus.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesAsusMotherBoardUtility->"asus.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\WinlogonShell->"Explorer.exeasus.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\WinlogonUserinit->"C:\WINDOWS\system32\userinit.exe,asus.exe"
3:连接远程机器
病毒会每隔两秒以SYN_SEND连接两个远程IP(211.15.**.**:41510与218.242.***.**:41510)
一但连接成功,就会监听发过来的指令,并按指令做指定动作。
指令如下:
HTTPDos
SYN
UDP
IM-Spread
Download
DOWNLOAD
Main
SCAN
Update
THREADS
SOCKS4
4:向局域网其它机器发送垃圾数据
病毒一但发现机器连接在局域网上,则随机生成IP,并向
这些IP发送大量的垃圾数据包,严重影响了局域网的速度。