后门病毒
一、释放“sam.dll”到系统中,注册表为组件,修改注册表,当eXPlorer.exe启动的时候,注入到explorer中。
1
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
"SysCheck" : {26266B3C-75A0-40FE-8F63-F5608DC4B0BB}
2
HKEY_LOCAL_MACHINE\Software\Classes\CLSID
\{26266B3C-75A0-40FE-8F63-F5608DC4B0BB}
二、在explorer.exe,开辟新的线程,监听本地tcp端口,等待远程控制命令。
三、采用mediaplay的图标。用户运行后,为了欺骗用户,生成“c:\p.avi”,打开相关程序。
四、在系统目录创建文件夹“prn_”,把自身拷贝过去,命名为“porno.avi.exe”。
运行net命令,共享该文件夹。
例如: net share porno=C:\WINNT\System32\prn_
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-1-12
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
