SLSYS.EXE是一個後門蠕蟲木馬病毒。
基本介紹
- 中文名:SLSYS.EXE進程檔案
- 外文名:WORM_WOOTBOT.JC
- 別名:W32.Spybot.Worm
- 威脅級別:2
- 進程位置:微軟系統
- 程式用途:後門蠕蟲木馬病毒
基本信息,病毒行為,清除建議,
基本信息
病毒名稱:Backdoor.Win32.Wootbot.gen(kaspersky)
病毒別名:W32.Spybot.Worm (Symantec), W32/Sdbot.worm.gen (McAfee), WORM_WOOTBOT.AZ (Trend Micro),Win32/Wootbot.NDZ (Eset)
影響系統:Windows系統 威脅級別:★★
基本特徵:大小 96,878 位元組,是WIN32平台下的的一個後門;病毒能夠隨機打開連線埠並連線外部伺服器,一旦連線成功,後門即建立,惡意使用者即可遠程控制機器並發出惡意指令。該病毒主要利用WindowsLSASS漏洞繁殖。別名:W32.Spybot.Worm, W32/Sdbot.worm。
病毒行為
1:在%system32%下生成WINR35.exe檔案作為病毒體(96,878 ,I)
2:修改,創建如下註冊表內容,實現自動啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices usbdrv "WINR35.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run usbdrv "WINR35.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce usbdrv "WINR35.exe"
3:開啟本地連線埠9876作為後門
清除建議
作為一個典型的後門,清除不是很困難。
1:重起進入安全模式,刪除%system32%下生成WINR35.exe。
假如系統安裝在C糟,默認就是C:\WINDOWS\SYSTEM32\WINR35.exe
2:查找並刪除註冊表中所有WINR35.exe,注意選擇“全字匹配”。
