Backdoor.Spyboter.at

2008-02-23 09:12:43来源：互联网阅读 ()

病毒名称: Backdoor.Spyboter.at 类别：后门病毒病毒资料：破坏方法：

IRC后门程序

病毒运行后将自己复制到％SYSDIR％目录下，文件名为"EXPLORER.EXE"。同时，为了迷惑用户病毒也将正常的EXEPLORER.EXE文件运行起来。

修改注册表：

1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项："Winsock2 driver"
增加数据项值："EXPLORER.EXE"

2.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunOnce
增加数据项："Winsock2 driver"
增加数据项值："EXPLORER.EXE"
以达到其自启动的目的。

查找当前系统中以下几个应用程序的进程：
"MSCONFIG.EXE"
"TASKMGR.EXE"
"NETSTAT.EXE"
如果找到病毒则将它们结束。

遍历网络中的共享目录，试图将自己复制到其它机子。

以特定的昵称登录指定的IRC频道，为其控制端提供远程控制服务。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-4-21

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有