Backdoor.Rustock

2017-11-30    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用
病毒名称: Backdoor.Rustock 类别:后门病毒 病毒资料: 该病毒感染 windows 2000, Windows NT, Windows Server 2003, Windows XP 系统,它打开一个后门,把染毒计算机作为转换代理,使用 rootkit 隐藏病毒所产生的文件和注册表内容,当感染此病毒时,有以下危害:

A 在系统目录里产生以下文件
drivers\I386P.SYS
MSCTL32.DLL
B 创建隐藏的服务,具有以下属性:
名称: i386p
文件路径:%System%\drivers\I386P.SYS
C 增加注册表项"Asynchronous" = "1"
"DllName" = "[NAME_OF_TROJAN_DLL].DLL"
"Impersonate" = "0"
"Startup" = "Startup"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\msctl32.dll
使得病毒每次开机后自动执行
D 插入dropped.dll 到 WINLOGON 进程
E 从以下地址下载安装 icq
http://FTP.icq.com/pub/ICQ_WIN95_98_NT4/[已删除]/icq5_setup.exe
F 使用随机的TCP端口把染毒计算机作为转换代理
G 从以下地址下载执行文件
http://ftp.skystockfinance.cc/[已删除]
http://https.enjoyfit2006.biz/[已删除]
http://www2.firemonk2006.com/[已删除]
H 连接以下地址的SMTP端口25发送邮件
mxs.mail.ru
smtp.yandex.ru
maila.microsoft.com
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2006-1-16

标签: https

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:网络安全技术之计算机安全

下一篇:安全无忧:防范非法用户侵入系统的七招技巧