基本介紹
- 中文名:Win32.Troj.Beast
- 病毒類型:木馬
- 影響系統:Win9x / WinNT
- 屬於:病毒
病毒行為,建議,
病毒行為
這是一個後門程式,稱其為惡獸實不為過。該病毒的感染方式和啟動方式不是固定的,它既可以用常規方法通過修改註冊表添加啟動項來載入,還可以把自己注入到“winlogon.exe”,“SYSTRAY.EXE”等系統進程以及“explorer.exe”,“IEXPLORE.EXE”等常用進程,再加上病毒大小,圖示,名稱等信息都是可變的,用戶很難察覺該病毒的存在。它會結束掉一些常見的病毒防火牆,盜取用戶的所有上網信息,遠程控制用戶電腦,任意上傳和下載檔案,偷窺用戶隱私等,嚴重危害用戶的數據安全。
建議
中了此病毒的用戶請創建一個非管理員帳號,然後用此帳號登入系統。由於該病毒無法在非管理員用戶機器上正常運行,從而可以輕鬆殺掉病毒檔案。
1. 在感染計算機上釋放下列檔案:
%WinDir%\dxdgns.dll, 28756位元組,UPX壓縮,解壓以後是64596位元組
2.將自己複製為
%SystemRoot%\msagent\msudsm.com,
%SystemDir%\mswkrr.com, 47237位元組
兩個病毒檔案的副本都是47237位元組,UPX壓縮,解壓以後是61573
2.在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
以及
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"COM Service" = %ystemRoot%\msagent\msudsm.com
這樣,在windows啟動時,病毒就可以自動執行。
3.關閉系統還原,防止用戶通過系統還原清除病毒。
4.該病毒可以截取用戶的所有鍵盤輸入,並可以把用戶在電腦上的所進行的操作進行全盤記錄生成完整的log檔案,給用戶的隱私帶來了很大的危險。
6.該病毒自動檢測感染計算機是否安裝防火牆一旦發現就強行結束,使其無法檢測到黑客的遠程登入。