扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个通过MSN传播的蠕虫后门。该病毒用VB语言编写,如果进入用户电脑,会复制大量的副本到系统内,同时在注册表内添加多个启动项确保自身随系统启动。站稳脚跟后建立后门,为黑客入侵提供便捷。
1. 该病毒运行后释放大量的病毒副本到系统各目录中,具体如下:
%Windir%\dc.exe
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\SVIQ.EXE
%Windir%\system\Fun.exe
%System%\WinSit.exe
%System%\config\Win.exe
%System%\Penx.dat(空文件)
%System%\Xpen.dat(空文件)
如存在文件%Windir%\wininit.ini,在该文件中添加字符NUL=%Windir%\Help\Other.exe
,用于重启后删除%Windir%\Help\Other.exe。
2. 为下列文件新建进程:
%Windir%\system\fun.exe
%Windir%\sviq.exe
%Windir%\dc.exe
3. 新建注册表如下项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
dc2k5 = "%Windir%\SVIQ.EXE
Fun = "%Windir%\system\Fun.exe
dc = "%Windir%\dc.exe
SVIQ.EXE,Fun.exe,dc.exe随系统启动。
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = "%System%\config\Win.exe
修改如下注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %System%\WinSit.exe
WinSit.exe随系统启动。
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load = "%Windir%\inf\Other.exe
Other.exe随系统启动。
4. 系统如下端口连接指定地址
1042 TCP Fun.exe (%Windir%\system\Fun.exe)
1043 UDP Fun.exe (%Windir%\system\Fun.exe)
连接地址http://www.*******.cn/tIyn***jhg/pasnt.asp(1*2.*.2.*),端口80。本地端口号在一定范围内随机。
5.病毒监视系统内MSN运行情况,向MSN好友发送病毒副本传播自身。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者