簡介
病毒長度:變長
病毒類型:木馬
危害等級:*
影響平台:Win9X/2000/XP/NT/Me
Backdoor/Evncil在用戶不知道的情況下安裝WinVNC程式,允許黑客未經授權便可以訪問感染的計算機。
傳播過程及特徵
1.複製自身為:
%System%\iexplore.exe
%System%\iexplorer.exe (WinVNC程式)
%System%\stealth.dll
%System%\othread2.dll
%System%\vnchooks.dll (WinVNC程式)
2.顯示一個帶OK按鈕的對話框,內容為:
The WinVNC service was successfully registed
The service may be started from the Controk
Panel,and will automatically be run the next time
this machine is reset
大致意思為:WinVNC服務已經成功註冊,系統重起後將自動運行。
3.將stealth.dll檔案嵌入到explore.exe進程,防止用戶看到木馬檔案。
4.修改註冊表:
/添加鍵值:
"OPTIMIZER"="%System%\iexplore.exe"
"WinVNC"="%System%\iexplorer.exe -servicehelper"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/添加鍵值:
"AppInit_DLLs"="%System%\stealth.dll"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
5.監聽並連線TCP連線埠5800和5900。
參考資料
1.http://baike.baidu.com/view/839558.htm
