Win32.Hack.HeiDong.b.488960-终端安全-安全频道-至顶网

Win32.Hack.HeiDong.b.488960

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

此毒为一个远程木马。它拥有较多的变种，运行后能帮助黑客对用户电脑进行远程控制。

来源：论坛整理 2008年9月28日

关键字：安全防范病毒查杀病毒资料

威胁级别:

★☆☆☆☆

病毒类型:

黑客程序

病毒长度:

488960

影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

此毒为一个远程木马。它拥有较多的变种，运行后能帮助黑客对用户电脑进行远程控制。

在磁盘中释放出以下文件:
C:\Documents and Settings\All Users\zyndf16.ini
C:\WINDOWS\SYSTEM\zyndle080922.exe
C:\WINDOWS\SYSTEM\zyndld32080922.dll
C:\WINDOWS\SYSTEM\zyndld32080922jt.dll

在磁盘中删除了以下文件:
C:\WINDOWS\SYSTEM\zyndld32080922jt.dll

会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"

病毒会连接作者指定的网址:
域名:"n*.u*2.net" 端口:53 (IP)
域名:"www.ya*oo.com" 端口:80 (IP)
域名:"www.w*b.de" 端口:80 (IP)
域名:"FAKE" 端口:4660 (IP)

在磁盘中创建以下配置文件:
C:\Documents and Settings\All Users\zyndf16.ini [install] "Tick" "573491"
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "old_exe" ""
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "old_dll32" ""
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "old_dll32_ls" ""
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "ver" "080922"
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "fn_exe" "C:\WINDOWS\SYSTEM\zyndle080922.exe"
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "regstart" "nmzy_df"
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "fn_dll" "C:\WINDOWS\SYSTEM\zyndld32080922.dll"
C:\Documents and Settings\All Users\zyndf16.ini [mydown] "fn_dll_ls" "C:\WINDOWS\SYSTEM\zyndld32080922jt.dll"