扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一点典型后门病毒,病毒为了隐藏自己,所取的病毒名和服务描述信息都比较象系统正常信息。
1.释放病毒副本%Windir\system32\notepde.exe,创建服务gu7788gu并开启来加载文件,使其随系统启动。
2.病毒试图在注册表内写入服务信息,为了欺骗用户,服务gu7788gu的描述信息是"客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。"
3.病毒将自身添加到windows防火墙的例外列表中,修改注册表如下位置HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list,"%Windir%\system32\notepde.exe"= %Windir%\System32\notepde.exe:*:Enabled:Micros
oft (R) Internetal IExplore.x&:
4.病毒连接远程端口61.1*8.*8.1*4:8001等待指令。
5.利用cmd命令删除自身。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号