病毒別名:Backdoor.Prorat.18[AVP]
處理時間:
威脅級別:★★
中文名稱:巨鼠變種18
病毒類型:黑客程式
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:
upx壓縮,delphi編寫
傳染條件:
用戶誤運行
發作條件:
會在系統開設後門等待攻擊者的遠程控制
基本介紹
- 中文名:巨鼠變種18
- 外文名:Win32.Hack.Prorat18
- 威脅級別:★★
- 病毒類型:黑客程式
基本信息,病毒行為,
基本信息
中文名稱:巨鼠變種18
編寫工具:
upx壓縮,delphi編寫
傳染條件:
用戶誤運行
發作條件:
會在系統開設後門等待攻擊者的遠程控制
病毒行為
1,拷貝自身到:
%System%Main.exe
%System%Loader.exe
%System%Msmsg.exe
%System%Winserv.dll
%System%Fservice.exe
%System%Sservice.exe
%Windir%Winlogon.exe
2,生成
%System%wininv.dll
%System%winkey.dll
3,向註冊表添加:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
鍵值可能為:
"MSNMESENGER"="%System%Main.exe"
"DirectX for Microsoft Windows"="%System%Fservice.exe"
"DirectX for Microsoft Windows"="%System%Sservice.exe"
"StubPath"="C:WindowssystemSservice.exe"
4,修改註冊表鍵值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
"explorer.exe %System%Fservice.exe"
5,在tcp50000 - 60000之間隨機連線埠開設後門
6,向Winlogon注入dll,來監視用戶的一些操作,防止木馬主程式被結束掉.
發作現象:
本機會有下列檔案:
%System%Main.exe
%System%Loader.exe
%System%Msmsg.exe
%System%Winserv.dll
%System%Fservice.exe
特別說明:
