金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行之后,会释放 C:WINDOWSinf etip4.dll C:WINDOWSsystem32Setup etsecurity.exe
行为分析:
这是一个后门程序。它注册为系统服务,连接病毒作者指定的远程地址,使得黑客可以任意控制电脑系统。
:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行之后,会释放 C:WINDOWSinf etip4.dll C:WINDOWSsystem32Setup etsecurity.exe
行为分析:
这是一个后门程序。它注册为系统服务,连接病毒作者指定的远程地址,使得黑客可以任意控制电脑系统。
描述:
病毒运行之后,会释放
C:WINDOWSinf
etip4.dll
C:WINDOWSsystem32Setup
etsecurity.exe
添加注册表,创建名为"NetSec"的系统服务,开机自启动netsecurity.exe,将netip4.dll加载到IExplorer中。
每次系统启动时,病毒会创建名为"dddd asdfddddf"的互斥体,读取配置文件%sys32dir%mobb_ddx.ini,设置机远程连接的信息,然后删除配置文件,创建远程连接线程。
首先启动IExplorer连接http://wsx.s***ilt.se:8888/ip.jpg ,
读取注册表 HKEY_LOCAL_MACHINE下的"SOFTWARE\Microsoft\AresRemote"下的"host_setting""vap_setting"等信息,创建与远程控制主机的连接,如果连接建立成功的话,根据返回的信息选择进一步的操作。
1)从这个地址下载其他病毒,并执行下载的病毒;
2)获取系统存储器的信息,并发送到远程地址;
3)从系统中读取文件信息,并发送指定文件到远程地址;
4)接受命令行指令,并执行该指令;
5)获取系统进程信息,并发送到远程地址;
6)更新注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AresRemote;
7)对自身进行更新;
8)卸载病毒;
9)删除指定文件;
10)从远程地址直接对宿主机器进行键盘鼠标操作。
病毒运行之后,会释放
C:WINDOWSinf
etip4.dll
C:WINDOWSsystem32Setup
etsecurity.exe
添加注册表,创建名为"NetSec"的系统服务,开机自启动netsecurity.exe,将netip4.dll加载到IExplorer中。
每次系统启动时,病毒会创建名为"dddd asdfddddf"的互斥体,读取配置文件%sys32dir%mobb_ddx.ini,设置机远程连接的信息,然后删除配置文件,创建远程连接线程。
首先启动IExplorer连接http://wsx.s***ilt.se:8888/ip.jpg ,
读取注册表 HKEY_LOCAL_MACHINE下的"SOFTWARE\Microsoft\AresRemote"下的"host_setting""vap_setting"等信息,创建与远程控制主机的连接,如果连接建立成功的话,根据返回的信息选择进一步的操作。
1)从这个地址下载其他病毒,并执行下载的病毒;
2)获取系统存储器的信息,并发送到远程地址;
3)从系统中读取文件信息,并发送指定文件到远程地址;
4)接受命令行指令,并执行该指令;
5)获取系统进程信息,并发送到远程地址;
6)更新注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AresRemote;
7)对自身进行更新;
8)卸载病毒;
9)删除指定文件;
10)从远程地址直接对宿主机器进行键盘鼠标操作。
回复
评论病毒
