Backdoor.Phoenix木馬病毒是一個秘密的彈性攻擊程式,它能夠允許非法訪問被病毒感染的計算機。此病毒感染安裝有Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP作業系統的計算機,而不會感染安裝有Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux作業系統的計算機。
基本介紹
- 中文名:Backdoor.Phoenix
- 發現日期:2002-09-16
- 病毒類型:木馬病毒
- 傳播範圍:低
病毒介紹,解決方案,
病毒介紹
:
Backdoor.Phoenix木馬病毒是一個秘密的彈性攻擊程式,它能夠允許非法訪問被病毒感染的計算機。它是通過連線埠7410來偵聽被病毒感染的計算機的。此病毒感染安裝有Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP作業系統的計算機,而不會感染安裝有Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux作業系統的計算機。
1.此病毒能夠修改用戶註冊表。
2.允許非法訪問被病毒感染的計算機,同時降低系統安全級別。
3.對外非法開放7410連線埠。
4.此病毒一旦被激活並開始運行,它將本身複製到:
%windir%\Ctwdm16.exe
%windir%\Ctcheklv.exe
%windir%\Ssdpcache.exe
其中:%windir%是變化的,此蠕蟲會自動尋找機器上的系統目錄,並將自身複製到系統目錄下,默認的是C:\Windows或C:\Winnt。
5.此病毒能夠生成鍵值:
Ctwdm16.exe %windir%\Ctwdm16.exe
Ssdpcache.exe %windir%\Ssdpcache.exe /doc
到註冊表編輯器:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時,病毒就會自動運行。
6.此病毒也能夠創造新鍵值:
(1)InstallationDate <The Trojan installation date> For example: <Thursday 10 May 2001 - 11:28:24>
到註冊表編輯器:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ph中。
(2)<path to the Trojan>\~P2.EXE %windows%\Ctwdm16.exe /del <path to the Trojan>\~P2.EXE
到註冊表編輯器:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中。
7.如果用戶使用的是Windows 95/98/Me作業系統,此病毒將自己註冊成服務進程,用戶只有在關機後,木馬才停止運行。
8.此木馬病毒會通過對外非法開放7410連線埠,讓黑客執行如下操作:
(1)可以傳送計算機系統和網路信息給黑客,其中包括網路登入名和快取網路密碼信息。
(2)非法列印檔案,播放媒體檔案,打開或關閉光碟驅動器。
(3)非法下載和執行檔案。
解決方案
:
1.及時升級防毒軟體,之後認真在整個硬碟上查殺此病毒,徹底清除掉查到的Backdoor.Phoenix木馬病毒。
2.到註冊表編輯器:
(1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中將鍵值:
Ctwdm16.exe %windir%\Ctwdm16.exe
Ssdpcache.exe %windir%\Ssdpcache.exe /doc清除。
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ph中將鍵值:
InstallationDate <The Trojan installation date> For example: <Thursday 10 May 2001 - 11:28:24>清除。
(3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中將鍵值:
<path to the Trojan>\~P2.EXE %windows%\Ctwdm16.exe /del <path to the Trojan>\~P2.EXE清除。