Win32.Troj.Rootkit.k

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

14293

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个使用了Rootkit技术的隐藏自己的下载器,它能下载黑客程序到受感染机上,

使受感染机可以服从黑客的指令通过网络攻击其它的电脑,即变成常说的"僵尸"。

1:拷贝文件

病毒运行后,会把自己拷贝到Windows目录下,命名为sysvx_.exe

%Window%\sysvx_.exe

2:更改注册表

病毒会更改以下两处注册表键值

HKEY_LOCAL_MACHINE_SYSTEM\CurrentControlSet\Services\TcpIP

TcpNumConnections->0x1000

使病毒能连接更多的主机,增加了网络的压力。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sysvx->%Window%\sysvx_.exe

使自己能随Windows启动。

3:使用Rootkit隐藏自己

病毒会使用Rootkit技术隐藏自身文件,注册表里面的值和病毒进程,

使用户通过注册表编辑器,Windows资源治理器,进程治理器无法发现

病毒的存在,增加了查杀病毒的难度。

4:下载黑客工具

病毒先通过

http://5p**.**/ping.fcgi?ip=%u.%u.%u.%u&port1=%lu&id=%09lu&ver=%s

来提交受感染机的IP,病毒打开的端口号Windows的版本号到远程机器上,

若收到了远程机的响应,就在远程机中下载以下文件:

http://5p**.**/synctl/upd/upd.txt

http://5p**.**/synctl/upd/upd.exe

http://5p**.**/synctl/white.txt

http://5p**.**/synctl/ddos.txt

到系统目录中,这些都是攻击的程序,它能通过黑客的远程控制,

使受感染机攻击黑客指定的另一台网络上的计算机,即使受感染机

变成常说的"网络僵尸"。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航