Win32.Troj.ChinaRemote

病毒别名：

处理时间：

威胁级别：★★

中文名称：中国后门

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:VC6

传染条件:

发作条件:通过注册表启动项

系统修改:

1. 向HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

添加"netinfo" = "C:WINNTsystem32

etinfo.exe",

添加"Microsoft Update Client" = "videon_32.exe".

2. 向HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

添加"Microsoft Update Client" = "videon_32.exe".

3. 向%SYSTEMROOT%System32目录添加

videon_32.exe,

netinfo.exe,

AWREMOTE.dll,

initremote.exe, RemoteSvc.exe, 文件, 并设置为隐藏.

发作现象:

通过任务管理器可以查看到videon_32.exe, netinfo.exe两个进程.

特别说明:

1. 该病毒将自身注册为RemoteSvc服务, 还进行IPC共享联接尝试弱密码攻击