冒名者病毒

tVersion\\ Hidden\\ tVersion\\

名稱

病毒名稱冒名者(Backdoor/VB.Sfcdis)
病毒類型:後門
病毒大小:73728位元組
傳播方式:網路
危害程度:★★
2005年1月25日,江民反病毒中心截獲一個由VB語言編寫的後門病毒Backdoor/VB.Sfcdis。該病毒試圖禁用Windows 2000/XP/2003的系統檔案保護功能,進而替換系統檔案。還會收集用戶系統信息向某網站提交,並能夠根據遠程黑客命令,在用戶機器上進行檔案複製刪除、截取螢幕畫面、傳送訊息等操作。

特徵

病毒具體技術特徵如下:
1.運行後顯示如下對話框:
2.創建下列檔案:
c:\recycled.exe, 73728位元組,隱藏屬性檔案,病毒本身
c:\autorun.inf, 44位元組,隱藏屬性檔案,自動播放配置檔案,指向病毒程式。
這樣,用戶每次雙擊c:驅動器盤符,都會激活病毒程式
3.添加或修改下列註冊表鍵值:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL】
"CheckedValue" = 00000000
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon】
"SFCDisable" = 00000001
這樣,使用Windows資源管理器瀏覽檔案時將不會顯示隱藏檔案,在系統檔案被破壞時,Windows 2000/XP/2003也不會發出警告。
4. 嘗試用自身替換系統檔案%SystemDir%\Rundll32.exe。一旦替換成功,每次Rundll32.exe被調用時都會激活病毒程式。正常的Rundll32.exe被完全破壞,只能通過備份恢復。
5. 收集用戶系統的進程列表、機器名、驅動器等信息,向網頁腳本http://virtu****st.w**plus.com.cn/v**rl/v.asp提交。
6. 根據黑客命令,可以在用戶本地系統進行下列操作:
檔案複製、移動、刪除、改變屬性;
資料夾複製、移動、刪除、新建;
運行程式;
彈出訊息對話框,包含字元串“從 xfastx 到……的訊息”;
抓取用戶螢幕畫面

相關詞條

相關搜尋

熱門詞條

聯絡我們