病毒名称(中文):
牧民远程控制361984
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
388261
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个黑客控制木马。该病毒运行后,会自动添加到系统服务。当随系统开机启动后,创建单独的svchost.exe进程,并将dll模块加载到其中,然后开启远程线程创建后门等待黑客控制被感染机器。
1.复制文件:
%sys32dir%\sysi.dll
2.添加注册表
添加以下注册表项,创建系统服务,并设置为开机自启动:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netcu]
ImagePath="C:\WINDOWS\system32\svchost.exe-knetwork"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netcu\Parameters]
ServiceDll="C:\WINDOWS\system32\sysi.dll"
另外还有以下配置信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
Info="yk2812017.3322.org:8000>>上线>远程上线主机>25>0>1080>guest>123456>"
Beizhu="上线"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SvcHost]
network="netcu"
3.破坏方式
该木马运行后,释放dll文件到system32文件夹,并添加到系统服务,随系统开机启动后,创建单独的svchost.exe进程并将dll
模块加载到其中,开启远程线程创建后门等待黑客控制被感染机器。
4.相关网址
http://yk2***017.3322.org:8000
可能通过该网址进行连接上线。