病毒名称(中文):
端口监听者57347
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
57347
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个感染型病毒。它会感染包括系统文件在内的本机全部exe文件,并在系统中使用多种方式自启动。当被感染的程序运行,病毒就发生作用。此病毒的实质是一个黑客后门程序,它会制造后门等待黑客的连接,以便盗取文件。
1.病毒运行后,生成以下病毒文件,四个文件相同。
c:\WINDOWS\system32\autochks.exe
c:\WINDOWS\system32\ntvdme.exe
c:\WINDOWS\system32\smssl.exe
c:\WINDOWS\system32\TaskMon.exe
2.将两个病毒文件添加到注册表启动项,随系统启动。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
autochks.exe:c:\windows\system32\autochks.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
smssl.exe:c:\windows\system32\smssl.exe
3.将ntvdme.exe注册为系统服务,随系统启动。服务名为:RemoteAccessConnectionAutoManager
3.其中TaskMon.exe负责全盘搜索exe文件进行感染,将病毒附加到正常文件的末尾,被感染的文件增大。
4.病毒文件autochks.exe负责监听18500端口,等待黑客的连接。
5.若用户安装有防火墙软件可发现autochks.exe试图访问网络的行为。
