特洛伊病毒Win32.Skiks.A

其它名稱：W32/Backdoor.WAC (F-Prot) , Trojan.Win32.Pakes (Kaspersky), Win32/Skiks!Trojan

流行程度：

具體介紹：

感染方式：

運行時，Skiks.A複製到%System%\wmp.exe。它將代碼注入到Explorer.exe，鎖住wmp.exe程式，並防止它被刪除。

為了在每次系統啟動時運行病毒，特洛伊生成以下註冊表：

HKLM\Software\Microsoft\Active Setup\Installed Components\\StubPath = "%System%\wmp.exe"

特洛伊還生成一個名為"_wmp_"的互斥體。

危害：

鍵盤記錄

Skiks.A記錄所有按鍵，包括控制鍵，並保存到%System%\wmp檔案。

下載並運行任意代碼

特洛伊嘗試在TCP 1100連線埠連線nsdf.no-ip.biz地址。如果成功，特洛伊收到一個數據阻塞的數字。數字描述的是期望阻塞的大小。一旦它收到數據阻塞，特洛伊就會立刻運行，假定它是本地Intel x86代碼。

同時，nsdf.no-ip.biz不解析為有效地IP位址，就會導致連線失敗。

清除：

KILL安全胄甲InoculateIT 23.73.91，Vet 30.3.3264 版本可檢測/清除此病毒。