Backdoor/IRC.Zapchast使黑客完全控制感染的計算機,它由多個檔案組成,Ratsou.exe 是安裝檔案,大約1.2MB。
基本介紹
- 中文名:Backdoor/IRC.Zapchast
- 類別:病毒
- 威脅級別:一星
- 類型:後門
基本信息,傳播過程,
基本信息
Backdoor/IRC.Zapchast
病毒長度:1,223,314 位元組
病毒類型:後門
危害等級:*
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程
1.創建資料夾:%Windir%\System32\Drivers\Dsdn36,並在此插入下列檔案:
Aim.dll
Aim.txt
C.dll
Crazy.exe
Empavms.exe
Flood.ocx
Ipservers.dll
Java.dll
Libparse.exe
Lsass.exe
Miconfig.exe
Moo.dll
Msccl.dll
Msconig.exe
Newuser.bat
Nhtml.dll
Regedit.dll
Remote.ini
Restart.exe
Sipg.ocx
Start.ocx
Sysboot.dll
Sysconfig.ocx
Syste32.dll
Temp
Unicod_look
Unicod_ready
Users.dll
Wincmd35.bat
Wind.dll
2.在 %System% 資料夾下插入檔案:
explorer.dll
iexplore.dll
3.修改註冊表:
添加鍵值:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HID.EXE"="%windir%\system32\dsdn36\lsass.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"lsass"="%windir%\system32\dsdn36\lsass.exe"
4.在註冊表HKEY_LOCAL_MACHINE\Software\Classes掛鈎到IRC檔案,導致一旦打開chat檔案時便調用%Windir%\System32\Drivers\Dsdn36。病毒運行後,會在TCP連線埠6667連線IRC伺服器,並加入特定的聊天頻道,從而使黑客控制感染病毒的計算機。還可能打開TCP連線埠31337。
