Win32.Hack.PcMon.oxl,電腦病毒的一種,該病毒是一個後門程式。該病毒會利用系統漏洞及用戶弱口令感染其他連網的機器,並留後門供黑客控制受感染機器。
基本介紹
- 外文名:Win32.Hack.PcMon.oxl
- 處理時間:2006-12-08
- 威脅級別:★
- 病毒類型:黑客程式
基本信息,列表信息,
基本信息
病毒別名: 處理時間:2006-12-08 威脅級別:★
中文名稱: 病毒類型:黑客程式 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
列表信息
1、生成的檔案
%SystemRoot%\system32\xebmon.exe
2、添加系統服務,隨機器啟動
HKLM\System\CurrentControlSet\Services\xebmon
"Type" = "0x110"
HKLM\System\CurrentControlSet\Services\xebmon
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\xebmon
"ImagePath" = "%SystemRoot%\system32\xebmon.exe"
HKLM\System\CurrentControlSet\Services\xebmon
"DisplayName" = "xebmon"
3、該病毒會掃描並連線網路中的ipc$等共享。
4、該病毒會收集感染機器信息。
5、修改%SystemRoot%\system32\drivers\etc\hosts檔案
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.ahnlab.com
127.0.0.1 suc.ahnlab.com
127.0.0.1 auth.ahnlab.com
127.0.0.1 ahnlab.com
6、該病毒會生存並運行uninstall.bat批處理檔案實現自刪除。
