病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
14293
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个使用了Rootkit技术的隐藏自己的下载器,它能下载黑客程序到受感染机上,
使受感染机可以服从黑客的指令通过网络攻击其它的电脑,即变成常说的"僵尸"。
1:拷贝文件
病毒运行后,会把自己拷贝到Windows目录下,命名为sysvx_.exe
%Window%\sysvx_.exe
2:更改注册表
病毒会更改以下两处注册表键值
HKEY_LOCAL_MACHINE_SYSTEM\CurrentControlSet\Services\TcpIP
TcpNumConnections->0x1000
使病毒能连接更多的主机,增加了网络的压力。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sysvx->%Window%\sysvx_.exe
使自己能随Windows启动。
3:使用Rootkit隐藏自己
病毒会使用Rootkit技术隐藏自身文件,注册表里面的值和病毒进程,
使用户通过注册表编辑器,Windows资源治理器,进程治理器无法发现
病毒的存在,增加了查杀病毒的难度。
4:下载黑客工具
病毒先通过
http://5p**.**/ping.fcgi?ip=%u.%u.%u.%u&port1=%lu&id=%09lu&ver=%s
来提交受感染机的IP,病毒打开的端口号Windows的版本号到远程机器上,
若收到了远程机的响应,就在远程机中下载以下文件:
http://5p**.**/synctl/upd/upd.txt
http://5p**.**/synctl/upd/upd.exe
http://5p**.**/synctl/white.txt
http://5p**.**/synctl/ddos.txt
到系统目录中,这些都是攻击的程序,它能通过黑客的远程控制,
使受感染机攻击黑客指定的另一台网络上的计算机,即使受感染机
变成常说的"网络僵尸"。