Win32.Troj.Mifeng.b
病毒别名:
处理时间:
威胁级别:★★
中文名称:蜜蜂大盗
病毒类型:木马
影响系统:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行为:
编写工具:
bcb编写
传染条件:
用户误运行
发作条件:
运行后在用户系统设置后门,同时泄漏用户本机的一些信息,如主机名,ip等
系统修改:
1,拷贝自身到:
%System%<原始文件名>.exe.tmp
%System%<原始文件名>.exe
%Windir%IsUninst.exe
%Windir%IsUn0404.exe
%Windir%IsUn0804.exe
2,把%System%下所有扩展名为.scr的文件用自身覆盖.
3,添加注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"internet" = "%System%.exe"
4,修改注册表键值:
HKEY_CLASSES_ROOT xtfileshellopencommand
"(Default)" = "%System%.exe" "%1"
HKEY_CURRENT_USERControl PanelDesktop
"ScreenSaveTimeout"="60"
5,添加键值:
HKEY_CURRENT_USERControl PanelDesktop
"SCRNSAVE.EXE"="%System%sstext3d.scr"
6,覆盖C:AUTOEXEC.BAT的内容为:
net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >C:BOOTEX.LOG
7,在UDP 2222端口开设后门,等待攻击者的链接.
8,同时记录键盘按键,进行屏幕截图,进行收集用户信息的行动.
发作现象:
用户会发现C:AUTOEXEC.BAT的内容为:
net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >C:BOOTEX.LOG
特别说明: