病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
37336
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个新的远程控制的后门,它用了新的方法启动,使后门更加隐蔽.
1:释放文件与自删除
病毒被运行后,会在System32下创建一个名为mscorlib.dll的文件,这是一个后门,
病毒名为Win32.Hack.Ghost.b.53248;并把mscorlib.dll进程注入到Explorer.exe
进程里面去,之后在System32下生成一个名为del.bat的隐藏文件,用于写入一条DOS
指令,把自己删除.
2:更改注册表
病毒会修改以下注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\MicroHQ
DllName->mscorlib.dll
Logon->StartProcessAtWinLogon
Logoff->StopProcessAtWinLogoff
Start->StartProcessAtStartup
这样使得在Windows登录的时候病毒就能把自己插入到winlogon.exe里面运行.
3:开放端口供黑客连接
病毒会通过Winlogon.exe进程,开放一个黑客指定的端口,以供黑客控制受感染机之用,
黑客一但连接上了,就可以轻易的获取受感染机上的所有信息.
