Win32.Troj.Way.20_在线百科全书查询
Win32.Troj.Way.20
简介
病毒别名:Backdoor.Way.20[AVP]
处理时间:
威胁级别:★★
中文名称:黑暗之路
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为
这是一个后门病毒,它在用户电脑上打开后门,供黑客在未经授权的情况下非法访问用户的电脑并控制用户的电脑。它还修改文本文件的关联程序,即使开机时候没有病毒运行,当用户打开一个文本文件或者运行一个应用程序的时候,病毒就悄悄的运行了。而且该病毒文件的名字酷似系统文件和记事本文件,从而对用户更具迷惑性。用户电脑一旦被黑客控制以后,他可以像本地用户一样操作用户的文件和注册表;他可以获取用户的系统信息,如CPU信息,Windows版本,Windows目录,物理内存,注册公司,注册用户,当前用户,计算机名称,Windows序列号等;他还可以操作用户的光驱,重启计算机,关闭计算机等等。
应对
1.将自己复制为%system%\\NOTEPAD.EXE和%System32%msgsvc.exe。
2.修改注册表:
添加表项:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
"Msgtask"="%System%\\msgsvc.exe"
修改文本文件关联:
HKEY_CLASSES_ROOT\\Software\\Classes\\txtfile\\shell\\open\\command
"(Default)"="%System%\\Notepad.exe %1"
原始值为:
"(Default)"="%SystemRoot%\\Notepad.exe %1"
3.尝试打开以下TCP端口并监听:1111,1114,8011,供黑客连接并控制中毒电脑。
4.黑客可以对中毒电脑做一下操作:
文件和目录操作(创建,删除,重命名,改变属性,添加共享,映射驱动器等);
获取系统信息(CPU信息,Windows版本,Windows目录,物理内存,注册公司,注册用户,当前用户,计算机名称,Windows序列号,注册码
,
窗口分辨率,盘驱动器容量,盘驱动器剩余容量等);
光驱操作(打开,关闭,设置自动运行);
恶作剧操作(锁定注册表,禁止自动拨号,关闭磁盘监控,关闭键盘监控,改变屏幕颜色,改变壁纸,改变计算机名字等);
电源管理(重启计算机,关闭计算机);
鼠标操作(锁定鼠标,交换鼠标左右键);
窗口操作(最大化/最小化/关闭窗口、激活/隐藏/禁用窗口);
注册表操作(创建,删除,重命名等)。
