概要
病毒別名:
處理時間:
威脅級別:★★
中文名稱:山德機器變種NZ
病毒類型:黑客程式
影響系統:Win9x / WinNT
病毒行為:
這是一個後門程式,會使用戶機器受到遠程控制。如會盜取用戶機器上正版遊戲的CD key、使受害機器成為控制者對指定網站發動DOS攻擊的幫凶、上傳新病毒等。該病毒可以通過窮舉的方式暴力破解區域網路上主機的密碼來傳播,也可以通過MyDoom病毒的後門傳播,所以用戶在不知不覺之間可能就會被區域網路中的其它機器感染。建議用戶給系統的所有用戶使用複雜密碼來預防。
1.病毒將自身複製到:"%System%\integator.exe"
2.在註冊表主鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添加鍵值:
"Windows Fix" = "integator.exe"
3.當檢測到連線了網路後,病毒開啟後門,連線到一個IRC伺服器,接受控制者命令:
收集本機信息、掃描網路、對指定網站進行DOS攻擊,上傳新檔案、操作本機進程等
4.病毒通過自帶的一個密碼錶,暴力破解遠程主機,直接將自身複製到遠程主機的如下目錄之一:
"%RemoteComputer%\\IPC$\integator.exe"
"%RemoteComputer%\\D$\integator.exe"
"%RemoteComputer%\\print$\integator.exe"
"%RemoteComputer%\\c$\integator.exe"
"%RemoteComputer%\\Admin$\integator.exe"
"%RemoteComputer%\\c$\windows\system32\integator.exe"
"%RemoteComputer%\\c$\winnt\system32\integator.exe"
"%RemoteComputer%\\Admin$\system32\integator.exe"
如果複製成功,就會遠程添加任務調試,讓病毒在遠程主機上自動運行。
5.病毒還可以通過MyDoom病毒的後門傳播。
6.獲取如下遊戲的CD key:
Command & Conquer Generals
FIFA 2003
NFSHP2
SOF2
NWN
Battlefield 1942 Road To Rome
Battlefield 1942
Project IGI 2
Counter-Strike ( Retail )
Unreal Tournament 2003
Half-Life