病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
20860
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下的后门程序,病毒运行时伪装成伪系统正常文件和伪系统正常服务以迷惑用户,当用户当前系统中存在特定进程时,病毒将病毒代码注入其进程中执行,执行完毕后,病毒作者可以在远程任意操控中毒机器,如下载用户隐私信息、删除/修改文件、关闭系统等等,结用户造成很大的危害。
病毒主要通过欺骗方式进行传播。
1、病毒运行后将自身复制为以下文件:
%WINDIR%\System32\remote.exe(病毒运行时设置文件创建时间同"locator.exe")
2、同时释放出病毒服务端主程序:
%WINDIR%\System32\kernel32.ime
3、添加如下服务,使病毒开机后自动运行:
服务名称:RpcRemote
显示名称:RemoteProcedureCall(RPC)Remote
描述:治理RPC名称服务数据库。
路径:%Windir%\system32\Remote.exe
启动类型:自动
4、用户当前系统中存在以下进程时,病毒将病毒代码"kernel32.ime"注入相应进程中,这样就可以避开网络防火墙的监视:
svchost.exe
java.exe
ServUDaemon.exe
mysqld-nt.exe
sqlservr.exe
Apache.exe
inetinfo.exe
