Win32.Troj.NTRootKit病毒類型為木馬,別名Win32.Troj.NTRootKit。
基本介紹
- 中文名:隱士
- 外文名:Win32.Troj.NTRootKit
- 病毒類型:木馬
- 影響系統:Win9x / WinNT
- 威脅級別:★★
基本信息,傳播過程,
基本信息
病毒別名:Win32.Troj.NTRootKit
病毒類型:木馬
傳播過程
該病毒隱藏一系列的進程、檔案、註冊表項。
"Ms4Hd"
在新建立的子鍵下再添加四個子鍵:
"Files" 保存需要隱藏的檔案名稱
"Processes" 保存需要隱藏的進程名
"RegValues" 保存需要隱藏的註冊表鍵值
"Regkeys" 保存需要隱藏的註冊表子鍵
被病毒隱藏的檔案名稱:
service.exe
msacmx.dll
d3dxov.dll
winsrv32.dll
ie4unit.exe
ipxroutex
rdshost32
rshe.exe
net2.exe
mqsvch.exe
dllhostxp.exe
extrac16.exe
mqbckup.exe
pxhping.exe
rdpnr.exe
slservc.exe
PENTRO~1.V
hdr.dll
被病毒隱藏的進程:
ie4unit.exe
ipxroutex.exe
service.exe
rdshost32.exe
rshe.exe
net2.exe
mqsvch.exe
dllhostxp.exe
extrac16.exe
mqbckup.exe
pxhping.exe
rdpnr.exe
slservc.exe
"%Filename%"
被病毒隱藏的進程註冊表鍵值的名稱:
dllhostxp.exe
"%Filename%"
pxhping.exe
service.exe
被病毒隱藏的子鍵:
{98DBBF16-CA43-4c33-BE80-99E6694468A4}
{A5366673-E8CA-11D3-9CD9-0090271D075B}
Files
Ms4Hd
Processes
RegKeys
RegValues
Vendor
註:"%Filename%"指病毒檔案名稱
2.病毒會將自身複製到:
"%System%\%Filename%"
並釋放出檔案:
"%System%\hdr.dll"
3.病毒在註冊表主鍵HKLM\Software\Microsoft\Windows\CurrentVersion\Run下新建鍵值:
"%Filename%" = "%Filename"