Backdoor.Rustock
2017-11-30 来源:
病毒名称:
Backdoor.Rustock
类别:后门病毒
病毒资料:
该病毒感染 windows 2000, Windows NT, Windows Server 2003, Windows XP 系统,它打开一个后门,把染毒计算机作为转换代理,使用 rootkit 隐藏病毒所产生的文件和注册表内容,当感染此病毒时,有以下危害:
A 在系统目录里产生以下文件
drivers\I386P.SYS
MSCTL32.DLL
B 创建隐藏的服务,具有以下属性:
名称: i386p
文件路径:%System%\drivers\I386P.SYS
C 增加注册表项"Asynchronous" = "1"
"DllName" = "[NAME_OF_TROJAN_DLL].DLL"
"Impersonate" = "0"
"Startup" = "Startup"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\msctl32.dll
使得病毒每次开机后自动执行
D 插入dropped.dll 到 WINLOGON 进程
E 从以下地址下载安装 icq
http://FTP.icq.com/pub/ICQ_WIN95_98_NT4/[已删除]/icq5_setup.exe
F 使用随机的TCP端口把染毒计算机作为转换代理
G 从以下地址下载执行文件
http://ftp.skystockfinance.cc/[已删除]
http://https.enjoyfit2006.biz/[已删除]
http://www2.firemonk2006.com/[已删除]
H 连接以下地址的SMTP端口25发送邮件
mxs.mail.ru
smtp.yandex.ru
maila.microsoft.com
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2006-1-16
A 在系统目录里产生以下文件
drivers\I386P.SYS
MSCTL32.DLL
B 创建隐藏的服务,具有以下属性:
名称: i386p
文件路径:%System%\drivers\I386P.SYS
C 增加注册表项"Asynchronous" = "1"
"DllName" = "[NAME_OF_TROJAN_DLL].DLL"
"Impersonate" = "0"
"Startup" = "Startup"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\msctl32.dll
使得病毒每次开机后自动执行
D 插入dropped.dll 到 WINLOGON 进程
E 从以下地址下载安装 icq
http://FTP.icq.com/pub/ICQ_WIN95_98_NT4/[已删除]/icq5_setup.exe
F 使用随机的TCP端口把染毒计算机作为转换代理
G 从以下地址下载执行文件
http://ftp.skystockfinance.cc/[已删除]
http://https.enjoyfit2006.biz/[已删除]
http://www2.firemonk2006.com/[已删除]
H 连接以下地址的SMTP端口25发送邮件
mxs.mail.ru
smtp.yandex.ru
maila.microsoft.com
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2006-1-16
标签: https
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:网络安全技术之计算机安全
最新资讯
热门推荐