科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.Hack.Pangu.a.20480 手动专杀及 病毒资料

Win32.Hack.Pangu.a.20480 手动专杀及 病毒资料

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒名称(中文): 黑客后门程序20480 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马程序 病毒长度: 20480 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为:

来源:论坛整理 2008年9月19日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件
病毒名称(中文): 黑客后门程序20480 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马程序 病毒长度: 20480 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个黑客后门病毒。它为了隐藏自己,所取的病毒名和服务描述信息都比较象系统正常信息。它会修改系统防火墙的数据,然后连接远程服务器等待黑客指令。

1.释放病毒文件
%system32%notepde.exe

2.创建服务gu7788gu并开启来加载文件,使其随系统启动。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gu7788gu

ImagePath

hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6e,6f,74,65,70,64,65,2e,65,78,65,00

3.病毒试图在注册表内写入服务信息,为了欺骗用户,服务gu7788gu的描述信息是'客户端和服务器之间的 net send 和 alerter

服务消息。此服务与 windows messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服

务的服务将无法启动。'

4.病毒将自身添加到windows防火墙的例外列表中,修改注册表如下位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
C:\WINDOWS\system32\notepde.exe
"C:\WINDOWS\system32\notepde.exe:*:Enabled:Microsoft (R) Internetal IExplore"

5.病毒连接远程端口61.1*8.*8.1*4:8001等待指令。

6.利用cmd命令删除自身。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章