Backdoor.Wootbot.eu
2008-02-23 09:05:25来源:互联网 阅读 ()
病毒名称:
Backdoor.Wootbot.eu
类别: 后门病毒
病毒资料:
破坏方法:
IRC后门程序
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"IEXPLORER.EXE"。
二、修改注册表以下键值以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
3.HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
4.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunOnce
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
5.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\RunOnce
增加数据:"USB2"
数据值为:"IEXPLORER.EXE"
三、将自己注册为服务进程,服务名为"FireDaemon",服务显示名称为"USB2"。
四、结束系统中以下进程:
"EXESPY"、"WXR95"、"REGMON"、"FILE MONITOR"、"REGMONEX"、"WINDOW DETECTIVE"、
"DEBUGVIEW"、"RESSPY"、"ADVANCED REGISTRY TRACER"、"REGSNAP"、"EMSPY"、"MEMORY DOCTOR"、
"PROCDUmp32"、"MEMORY EDITOR"、"FROGSICE"、
"SMU WINSPECTOR"、"MEMORY DUMPER"、"MEMORYMONITOR"、
"NUMEGA SOFTICE LOADER"、"URSOFT W32DASM"、
"-=CHINA CRACKING GROUP=-"、"OllyDbg"、"TRW2000"
删除系统中以下服务:
"SICE"、"NTICE"、"NTICE7871"、"NTICED052"、"TRWDEBUG"、"TRW"、"TRW2000"、"SUPERBPM"、"ICEDUMP"、"REGMON"、
"FILEMON"、"REGVXD"、"FILEVXD"、"VKEYPROD"、"BW2K"、
"SIWDEBUG"
五、连接指定的IRC服务器,并以特定的昵称加入指定的聊天频道,为其控制端提供以下远程控制服务:
1.对指定IP的计算机进行拒绝服务攻击;
2.下载指定的文件到本地运行;
3.关闭本地计算机;
4.获取本地计算机信息;
5.控制本地计算机进程;
6.窃取某些指定的游戏软件的CD_KEY。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-1-21
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
