病毒名称(中文):
MSN后门制造者65536
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
65536
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过MSN传播的蠕虫后门。该病毒用VB语言编写,假如进入用户电脑,会复制大量的副本到系统内,同时在注册表内添加多个启动项确保自身随系统启动。站稳脚跟后建立后门,为黑客入侵提供便捷。
1.该病毒运行后释放大量的病毒副本到系统各目录中,具体如下:
%Windir%\dc.exe
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\SVIQ.EXE
%Windir%\system\Fun.exe
%System%\WinSit.exe
%System%\config\Win.exe
%System%\Penx.dat(空文件)
%System%\Xpen.dat(空文件)
如存在文件%Windir%\wininit.ini,在该文件中添加字符NUL=%Windir%\Help\Other.exe
,用于重启后删除%Windir%\Help\Other.exe。
2.为下列文件新建进程:
%Windir%\system\fun.exe
%Windir%\sviq.exe
%Windir%\dc.exe
3.新建注册表如下项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
dc2k5="%Windir%\SVIQ.EXE
Fun="%Windir%\system\Fun.exe
dc="%Windir%\dc.exe
SVIQ.EXE,Fun.exe,dc.exe随系统启动。
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
run="%System%\config\Win.exe
修改如下注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Shell="Explorer.exe%System%\WinSit.exe
WinSit.exe随系统启动。
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
load="%Windir%\inf\Other.exe
Other.exe随系统启动。
4.系统如下端口连接指定地址
1042TCPFun.exe(%Windir%\system\Fun.exe)
1043UDPFun.exe(%Windir%\system\Fun.exe)
连接地址http://www.*******.cn/tIyn***jhg/pasnt.asp(1*2.*.2.*),端口80。本地端口号在一定范围内随机。
5.病毒监视系统内MSN运行情况,向MSN好友发送病毒副本传播自身。