Backdoor.Grabilka.enc

2008-02-23 09:14:02来源：互联网阅读 ()

病毒名称: Backdoor.Grabilka.enc 类别：后门病毒病毒资料：破坏方法：

后门病毒

一、释放“sam.dll”到系统中，注册表为组件，修改注册表，当eXPlorer.exe启动的时候，注入到explorer中。

1
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
"SysCheck" : {26266B3C-75A0-40FE-8F63-F5608DC4B0BB}

2
HKEY_LOCAL_MACHINE\Software\Classes\CLSID
\{26266B3C-75A0-40FE-8F63-F5608DC4B0BB}

二、在explorer.exe，开辟新的线程，监听本地tcp端口，等待远程控制命令。

三、采用mediaplay的图标。用户运行后，为了欺骗用户，生成“c:\p.avi”，打开相关程序。

四、在系统目录创建文件夹“prn_”，把自身拷贝过去，命名为“porno.avi.exe”。

运行net命令，共享该文件夹。

例如： net share porno=C:\WINNT\System32\prn_
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-1-14

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有