Backdoor.Dumador.n.enc

2008-02-23 09:11:05来源：互联网阅读 ()

病毒名称: Backdoor.Dumador.n.enc 类别：后门病毒病毒资料：破坏方法：

后门程序

病毒运行后将自己复制多份分别放置在％WINDIR％、％SYSDIR％和StarMenu目录下，文件名分别"Load32.exe"、"Rundllw.exe"、"DLLREG.exe"、"VXCMGR32.EXE"，并在％SYSDIR％下释放其用于挂键盘钩子的动态库--"GUID32.DLL"。

修改以下系统设置以达到其自启动的目的。
1.修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项；

2.修改win.ini文件的"RUN"数据项；

3.修改system.ini文件的"Shell"数据项；

4.将自己复制到StarMenu（"开始"菜单的"启动"项）目录下。

遍历系统中的进程，终止文件名中含有下列字符串的进程：
ZAUINST.EXE
ZAPRO.EXE
ZONEALARM.EXE
ZATUTOR.EXE
MINILOG.EXE
VSMON.EXE
LOCKDOWN.EXE
ANTS.EXE
FAST.EXE
GUARD.EXE
TC.EXE
SPYXX.EXE
PVIEW95.EXE
REGEDIT.EXE
DRWATSON.EXE
......
这些进程是一些监控工具和一些反病毒软件。

搜索系统中文件扩展名为"htm"、"wab"、"Html"、"dbx"、"tbb"、"abd"的文件，从其中提取邮件地址，并向这些邮件地址发送邮件。

邮件的标题为：
"Use this patch immediately !"

邮件正文有以下内容：
"Dear friend , use this Internet EXPlorer patch now!..
There are dangerous virus in the Internet now!..More than 500.000 already infected!"

附件：
"patch.exe"

创建多个线程用于监听其开放的端口，为其控制端提供文件操作、进程控制、传送文件等远程控制服务。

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-2-4

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有