Backdoor.HawkBot.a
2008-02-23 09:06:22来源:互联网 阅读 ()
病毒名称:
Backdoor.HawkBot.a
类别: 后门病毒
病毒资料:
破坏方法:
这是一个蠕虫。采用Delphi编写。主要通过猜测主机的登陆账户和密码进行传播。与最近流行的Rbot,Sdbot病毒很接近,不同的是编写的语言不一样。作者应该也不同。
首次运行时将自己拷贝到C盘根目录,文件名为~tmp4265.exe,并写注册表项:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Win Loader : C:\~tmp4265.exe
这样可以保证病毒能够随着开机而自启动。
病毒每次启动都会主动连接tehsex.no-ip.com,这是一个色情站点。病毒通过这样的方法来增加网站的访问量。
对系统有破坏行为,主要体现在删除以下文件:
C:\Program Files\Adobe\Photoshop 6.0\Photoshp.exe
C:\Program Files\AIM\aim.exe
C:\Program Files\Ahead\Nero\nero.exe
C:\Program Files\Call of Duty\CoDSP.exe
C:\Program Files\Borland\Delphi6\Bin\delphi32.exe
C:\Program Files\EA Games\Command and Conquer Generals
\generals.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\KASPersky Lab\Kaspersky Anti-Virus Personal\Avp32.exe
C:\Program Files\Kazaa Lite K \klrun.exe
.......
病毒还偷盗一些游戏和软件的序列号信息,如:
CounterStrike Retail,
C&C Generals,
Black and White,
Global OperationsIGI2 - Covert Strike,
Freehand MX,Dreamweaver MX....
病毒通过猜密码传播自身,候选密码不多,但都是比较常见的简单密码,如:
1234,
passWord,
word,6969,
harley,rley,
123456,3456,
golf,pussy,
mustang,
tang,
1111,
shadow,
adow,
1313,
fish,
5150,
7777,
qwerty,
erty,
baseball,
ball......
由于产生的线程很多,病毒非常占资源,系统运行将会很缓慢。
病毒还主动连接IRC服务器,去接受黑客控制。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-12-23
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
