Win32.Troj.FakeTCPIPSev

威脅級別：★★

影響系統：Win9x / WinNT

這是一個適應性很強的後門病毒。它針對不同系統採取了不同的後門技術。在WinNT系統中，該病毒釋放檔案到系統存放驅動程式的目錄並將它啟動為系統服務進程，複製後的檔案名稱svchost.exe為系統檔案名稱。很容易讓人誤以為是系統進程。病毒創建的服務名字是：TSERV對該服務的描述是：“提供 TCP/IP (Services) 服務上的 Services 和網路上客戶端的 Services 名稱解析的支持，從而使用戶能夠已分享檔案、列印和登錄到網路。如果此服務被停用，這些功能可能不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。”，偽裝成系統服務的模樣，企圖以假亂真。然後它向指定的網址傳送上線通知並打開後門供攻擊者訪問並控制中毒電腦。在Win9X系統中，它釋放出驅動程式並載入，通過驅動程式實現類似上述功能，蔭蔽性更強，危害更大。

1.在WinNT系統中它釋放檔案為%System%\drivers\svchost.exe，檔案大小為36864位元組，並將它啟動為服務進程。在Win9X系統中它釋放如下檔案並載入：

%System%\npf.vxd（22627位元組）

%System%\PACKET.DLL（61440位元組）

%System%\PTHREADVC.DLL（53299位元組）

%System%\WPCAP.DLL（225280位元組）

%System%\RUND11.EXE（32768位元組）

2.在WinNT系統中創建服務WindowSocketAPIService，修改註冊表：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSERV]

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=<病毒程式的全路徑的十六進制UNICODE碼>

"DisplayName"="TCP/IP Service"

"ObjectName"="LocalSystem"

"Description"="提供 TCP/IP (Services) 服務上的 Services 和網路上客戶端的 Services 名稱解析的支持，從而使用戶能夠已分享檔案、列印和登錄到網路。如果此服務被停用，這些功能可能不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSERV\Security]

"Security"=<系統相關的十六進制碼>

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSERV\Enum]

"0"="Root\\LEGACY_TSERV\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

在Win9X系統中則載入驅動程式npf.vxd。

3.WinNt系統中打開後門，並向指定網址傳送上線通知。在Win9X系統中載入驅動程式，打開後門，並向指定網址傳送上線通知。