Win32.Hack.Optix132C

病毒別名：Backdoor.Optix.b[AVP]OptixPro.13[NAV]

處理時間：

病毒行為:

編寫工具:

Delphi

傳染條件:

發作條件:

系統修改:

A、根據木馬內置的設定，將自身複製兩份到"%SystemRoot%"或"%System%"目錄下。檔案名稱在配置時指定

B、根據木馬內置設定，可能在註冊表主鍵：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

或 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下添加健值。

鍵值名，根據木馬內置設定，鍵值數據為木馬路徑。

C、修改EXE檔案關聯：

HKEY_CLASSES_ROOTexefileshellopencommand

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

D、根據木馬內置設定，可能在"%SystemRoot%System.ini"檔案中，boot節添加一條

"Shell=Explorer.exe <木馬路徑>"

根據木馬內置設定，可能在"%systemRoot%win.ini"檔案中的windows節，添加一條

"Run = <木馬路徑>"

發作現象:

A、開連線埠，連線埠按木馬內置設定，默認為3410

B、可以通過ICQ、CGI、MSN、IRC、PHP、SMTP的方式通知控制者

C、可以中止木馬內置列表中的任意進程(多為防火牆進程)。

D、可以中止配置木馬時指定的系統服務

E、黑客可以通過該後門進行一系列的非授權控制，如：

註銷、關機、重啟、獲取系統信息、

上傳下載檔案、執行程式、修改、刪除檔案

顯示用戶的進程列表並中止指定進程

其他還有最大最小化視窗、註冊表操作、啟動服務……等

特別說明:

這是一個後門程式，具有極強的可定製性：從檔案名稱到圖示到行為，較難發現。