這是一個新的遠程控制的後門,它用了新的方法啟動,使後門更加隱蔽·
基本介紹
- 外文名:Win32.Hack.Ghost.b
- :病毒類型::黑客程式
- 影響系統:Win 9x/ME,Win 2000/NT,Win X
- 威脅級別:★
- 處理時間:2006-07-26
病毒名稱,病毒的啟動方法,1釋放檔案與自刪除,2更改註冊表,3開放連線埠供黑客連線,
病毒名稱
中文名稱影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
處理時間:2006-07-26
病毒的啟動方法
1釋放檔案與自刪除
病毒被運行後,會在System32下創建一個名為mscorlib.dll的檔案,這是一個後門,
病毒名為Win32.Hack.Ghost.b.53248;並把mscorlib.dll進程注入到Explorer.exe
進程裡面去,之後在System32下生成一個名為del.bat的隱藏檔案,用於寫入一條DOS
指令,把自己刪除.
2更改註冊表
病毒會修改以下註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MicroHQ
DllName -> mscorlib.dll
Logon -> StartProcessAtWinLogon
Logoff -> StopProcessAtWinLogoff
Start -> StartProcessAtStartup
這樣使得在Windows登錄的時候病毒就能把自己插入到winlogon.exe裡面運行.
3開放連線埠供黑客連線
病毒會通過Winlogon.exe進程,開放一個黑客指定的連線埠,以供黑客控制受感染機之用,
黑客一但連線上了,就可以輕易的獲取受感染機上的所有信息.
