Win32.Troj.ChinaRemote
病毒别名:
处理时间:
威胁级别:★★
中文名称:中国后门
病毒类型:木马
影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行为:
编写工具:VC6
传染条件:
发作条件:通过注册表启动项
系统修改:
1. 向HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加"netinfo" = "C:WINNTsystem32
etinfo.exe",
添加"Microsoft Update Client" = "videon_32.exe".
2. 向HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
添加"Microsoft Update Client" = "videon_32.exe".
3. 向%SYSTEMROOT%System32目录添加
videon_32.exe,
netinfo.exe,
AWREMOTE.dll,
initremote.exe, RemoteSvc.exe, 文件, 并设置为隐藏.
发作现象:
通过任务管理器可以查看到videon_32.exe, netinfo.exe两个进程.
特别说明:
1. 该病毒将自身注册为RemoteSvc服务, 还进行IPC共享联接尝试弱密码攻击