病毒名称(中文):
傀儡虫570880
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
570880
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个远程控制木马程序的被控端。它运行后会在后台注入IE运行,与远程控制端取得联系。假如它能从远程控制端获取命令,就会在本地执行许多威胁到用户隐私和系统安全的操作。
1.病毒运行后,产生以下病毒文件
%ProgramFiles%\InternetExplorer\PLUGINS\WmiPvss.exe
所释放的文件为隐藏文件。
2.注册为系统服务,并设置为在系统启动时自动启动。服务的名称为WmiPvss,描述为"Windows依靠性服务FirewallTotal程序提供安全检测"。
3.在后台启动IE(IExplore.exe),并在IE中运行病毒代码。此时IE浏览器窗口不可见。
4.从远程控制端获取命令,在本地执行对应的命令。命令所对应的操作包括:文件操作(创建,删除,移动文件),注册表操作(创建,删除,
查询,设置子键或键值),服务操作(创建,启动,停止,删除,设置服务),返回本机的文件列表,打开本地的指定文件。
