Backdoor/R3C.b
Backdoor/R3C.b
病毒类型:后门
危害等级:*
影响平台:Win9X/2000/XP/NT/Me/2003
Backdoor/R3C.b是用Delphi编写的后门程序并经UPX压缩,允许黑客未经授权访问感染的计算机,默认打开端口9870。
传播过程及特征:
1.首先检查注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
下的键值:"ICM version",确认其版本号高于125才会开始执行。
2.复制自身为:
%Windir%\\Winsock.exe
%System%\\ipmon.exe
3.修改注册表:
/Windows 95/98/Me
添加键值:"ipmon.exe"="C:\\WINNT\\system32\\ipmon.exe"
到注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
/Windows NT/2000/XP
修改注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\Winlogon
下的键值:"Shell"="Explorer.exe" 为:"Shell"="Explorer.exe Winsock.exe"
4.创建一个线程用来持续进行复制文件和监测注册表键值操作,并试图发送系统的IP地址给黑客,邮件的主题可能是变化的,默认为"R3c server-IP"。
5.作为后门程序,可以进行下列操作:
给黑客传送系统和网络信息
修改系统配置
打开/关闭CD-ROM驱动器
文件操作,包含:执行,复制,删除,重命名等
相关分词:
Backdoor