vc寫的後門,用upx加了殼。首次運行後將自己拷貝到系統目錄,名字為sysctl.exe
基本介紹
- 中文名:sfx.exe
- 修改註冊表:HKLM\Software\Microsoft\
- 系統配置檔案:win.ini
- 類型:後門程式
監聽本地8961號連線埠。
修改註冊表
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
sysctl : sysctl.exe
系統配置檔案win.ini
run=%WINDIR%\sysctrl.exe
並修改註冊表項
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit :
這一項是系統啟動時的運行參數。
這樣病毒能夠開機自啟動。
病毒運行後不斷檢查網路狀況,如正連上網際網路則連線到遠程主機。
監聽本地8961號連線埠等待遠程連線。
啟動用戶機器上的RASMAN服務,這是一個提供遠程管理的服務,以供後門控制端使用