病毒名称(中文):
黑客后门程序20480
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
20480
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个黑客后门病毒。它为了隐藏自己,所取的病毒名和服务描述信息都比较象系统正常信息。它会修改系统防火墙的数据,然后连接远程服务器等待黑客指令。
1.释放病毒文件
%system32%notepde.exe
2.创建服务gu7788gu并开启来加载文件,使其随系统启动。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gu7788gu
ImagePath
hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6e,6f,74,65,70,64,65,2e,65,78,65,00
3.病毒试图在注册表内写入服务信息,为了欺骗用户,服务gu7788gu的描述信息是'客户端和服务器之间的netsend和alerter
服务消息。此服务与windowsmessenger无关。假如服务停止,alerter消息不会被传输。假如服务被禁用,任何直接依靠于此服
务的服务将无法启动。'
4.病毒将自身添加到windows防火墙的例外列表中,修改注册表如下位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
C:\WINDOWS\system32\notepde.exe
"C:\WINDOWS\system32\notepde.exe:*:Enabled:Microsoft(R)InternetalIExplore"
5.病毒连接远程端口61.1*8.*8.1*4:8001等待指令。
6.利用cmd命令删除自身。