病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
333312
影响系统:
WinNTWin2000WinXP
病毒行为:
这是一款后门程序,答应黑客在客户毫不知情的情况下,通过网络远程控制客户计算机.在客户计算机上创建服务,以达到开机能自启动自身.创建iexplorer.exe并把病毒代码注入,达到隐藏的效果.
病毒运行后复制自身至
%windir%\lsuss.exe
并通过批处理把病毒源文件删除.
病毒创建注册表启动项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkConnectionsManageTypedword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkConnectionsManageStartdword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkConnectionsManageErrorControldword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkConnectionsManageImagePath%windir%\lsuss.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkConnectionsManageDisplayName"NeCM"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkConnectionsManageObjectName"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkConnectionsManageDescription"治理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。"
病毒运行后创建iexplorer.exe进程并把自身的代码注入,达到隐藏的效果.iexplorer.exe进程无法从系统的任务治理器里查找的到.
病毒会在用户计算机上开启socks5代理服务和http代理服务.
成功连接至木马种植者后,木马种植者可以从控制端远程查看用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程.
