愛情後門病毒II,是一款進程檔案,病毒類型是蠕蟲病毒。
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路/郵件
運行環境: WINDOWS 95/98/ME/NT/2000/XP
感染對象:硬碟資料夾
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路/郵件
運行環境: WINDOWS 95/98/ME/NT/2000/XP
感染對象:硬碟資料夾
病毒介紹:
當病毒運行時,將自己複製到windows目錄下自己分別複製到system目錄下,檔案名稱為
當病毒運行時,將自己複製到windows目錄下自己分別複製到system目錄下,檔案名稱為
並在註冊表run項中加入自身鍵值。病毒利用ntdll提供的api找到LSASS進程,並對其殖入遠程後門代碼。
(該代碼,將回響用戶tcp請求建方一個遠程shell進程。win9x為command.com,NT,WIN2K,WINXP
為cmd.exe)之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=RAVMOND.EXE。
並進入傳播流程。
(該代碼,將回響用戶tcp請求建方一個遠程shell進程。win9x為command.com,NT,WIN2K,WINXP
為cmd.exe)之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=RAVMOND.EXE。
並進入傳播流程。
病毒的幾個功能:
1.密碼試探攻擊:
病毒利用ipc進行guest和Administrator賬號的多個簡單密碼試探。(使用如12345678,abcdef,888888)
如果成功病毒將嘗試將自己複製到遠程系統並試圖註冊成服務。
2.放出後門程式:
病毒從自身體內放出一個dll檔案負責建立遠程shell後門。(連線埠1092)
病毒本身將自己注入到lsass進程中,並建立20168連線埠的shell後門
3.盜用密碼:
盜取用戶密碼,並傳送到指個信箱
4.區域網路傳播:
病毒窮舉網路資源,並將自己複製過去。檔案名稱為隨機的選取,5.郵件地址搜尋執行緒
病毒啟動一個執行緒通過註冊表
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系統目錄
並搜尋*.ht*中的email地址。用以進行郵件傳播。
6.發郵件
病毒利用mapi及搜出的email地址,進行郵件傳播。
1.密碼試探攻擊:
病毒利用ipc進行guest和Administrator賬號的多個簡單密碼試探。(使用如12345678,abcdef,888888)
如果成功病毒將嘗試將自己複製到遠程系統並試圖註冊成服務。
2.放出後門程式:
病毒從自身體內放出一個dll檔案負責建立遠程shell後門。(連線埠1092)
病毒本身將自己注入到lsass進程中,並建立20168連線埠的shell後門
3.盜用密碼:
盜取用戶密碼,並傳送到指個信箱
4.區域網路傳播:
病毒窮舉網路資源,並將自己複製過去。檔案名稱為隨機的選取,5.郵件地址搜尋執行緒
病毒啟動一個執行緒通過註冊表
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系統目錄
並搜尋*.ht*中的email地址。用以進行郵件傳播。
6.發郵件
病毒利用mapi及搜出的email地址,進行郵件傳播。
7.郵件通知病毒作者
當病毒被運行後每一段間隔傳送一次通知郵件給
位於163.com的一個信箱。郵件的標題是xyz123xyz123
內容為中毒系統的ip地址,以便利用病毒的後門
進行控制。
當病毒被運行後每一段間隔傳送一次通知郵件給
位於163.com的一個信箱。郵件的標題是xyz123xyz123
內容為中毒系統的ip地址,以便利用病毒的後門
進行控制。
