Backdoor.Spoobot.a.enc

2008-02-23 09:13:59来源：互联网阅读 ()

病毒名称: Backdoor.Spoobot.a.enc 类别：后门病毒病毒资料：破坏方法：

后门程序。遍历本地进程信息，连接外部主机。

后门与黑客程序。将自己拷贝到系统目录下，修改以下5处注册表

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RealPlayer : ％SysDir％％CurFile％

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
realplayer : ％SysDir％％CurFile％

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
realplayer : ％SysDir％％CurFile％

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
realplayer : ％SysDir％％CurFile％

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
realplayer : ％SysDir％％CurFile％

这样病毒就能随着每次开机而启动。

删除HKLM\Software\Microsoft\Windows\CurrentVersion\Run子键下面名称为

EXPlorer，TaskMon，
messnger的项。

创建名字为“hawk”的互斥体，保证只有一个病毒实例在运行。

搜索进程的exe模块，杀死包含下列字符串的进程
NMAIN，ANTIV，GTBOT，SDBOT，NOPDB，NVSVC，NPROT，VSHW，F-PROT，VIRUS，

SCAN，NORTON，
ZOME，WINROUTE
这样，不少著名反病毒软件就被结束了。

尝试连接外部主机
stine.dynup.net，stine.dyns.be，stine.ma.cx，stine.45z.com，

stine.kicks-ass.org，
stine.mine.nu，stine3.ath.cx，stine.yaboo.dk，stin3.lir.dk，

stine.kyed.com，
stine.dyndns.dk，stine.dyn.ph，stine.dyn.ro，stine.virulent.info，

stine.blazingweb.net...

搜索本地局域网机器，内部附有IPC口令字典，用户对机器密码比较粗心会导致被攻破。攻破后病毒将自身拷贝到其他机器的startup目录下。

内部附带了sysinternal公司的PSTools工具集中的工具PSExec，可以启动远程进程。

打开后门与黑客控制端通信。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-6-10

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有