Backdoor.Win32.Nuclear.c

2008-02-23 09:05:02来源：互联网阅读 ()

病毒名称: Backdoor.Win32.NUClear.c 类别：后门病毒病毒资料：破坏方法：

这是一个以dll方式工作的后门病毒。可以躲过防火墙的拦截。

一、病毒感染系统的过程：

1.使用互斥量“NR1.0B6.2”作为自身运行标志。

2.创建HKEY_CLASSES_ROOT\dllfile\shell\open\command，并且把默认值设置为“.”

3.把自己复制为“C:\WINNT\NR\ipcom.exe”，然后将他运行起来；同时创建并运行“C:\tmp.bat”。

该脚本文件运行后，删除病毒文件自身。

用户看到的现象是：双击了一个程序（病毒程序），什末反应也没有；五秒钟后，这个程序文件自动消失了。

二、运行于系统中的病毒。

1.将体内资源名称为“EXEFILE”的数据保存为文件C:\WINNT\NR\ieplorer.dll，

2.查询注册表中“ProgramFilesDir”对应的数据，找到“ieXPlore.exe”的完整路径。

病毒创建新的IE进程，以远程线程的方式把病毒模块“ieplorer.dll”加载到“iexplore.exe”中运行。
病毒采用这种方式达到三个目的：

1）从进程管理器中隐藏自己。
2）以系统“iexplore.exe”的名义访问网络，躲避防火墙的拦截。
3）增加被清除的难度。

三、病毒功能主模块ieplorer.dll。

该模块被加载后，创建一个新的线程，监听指定的端口，等待远程控制命令，打开系统后门。
为黑客提供下列控制服务：

1.截取屏幕
2.获取文件
3.上传文件
4.启动键盘记录
5.停止键盘记录
6.结束指定的进程
7.从新启动计算机
8.启动CMD程序
9.执行系统命令
10.获取系统信息
11.从指定的地址中下载文件。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。

发现日期： 2004-12-23

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有