概述
病毒別名:Trojan.PSW.Mifeng.d【AVP】
處理時間:
威脅級別:★
中文名稱:潛行隱者
病毒類型:木馬
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改:
A、將自製複製到:
"%System%<原始檔案名稱>.exe"
"%SystemRoot%IsUninst.exe"
"%SystemRoot%IsUn0404.exe"
"%SystemRoot%IsUn0804.exe"
B、覆蓋"%System%"目錄下面的所有螢幕保護程式(*.scr)。
C、覆蓋C:AUTOEXEC.BAT,內容為:
net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >>C:BOOTEX.LOG
試圖停止Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" 服務
該命令會導致C糟要目錄下生成一個C:BOOTEX.LOG檔案
D、在註冊表主鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下新健健值:
"internet" = "%System%<原始檔案名稱>.exe"
以便開機自動運行
E、修改檔案關聯,在註冊表主鍵
HKEY_CLASSES_ROOT xtfileshellopencommand
HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand
下將鍵值"(默認)"修改為
"(默認)" = "%System%<原始檔案名稱>.exe" "%1""
系統默認值為:
"(默認)" = %SystemRoot%system32NOTEPAD.EXE %1
以便打開txt檔案的時候啟動病毒
F、將註冊表主鍵HKEY_CURRENT_USERControl PanelDesktop下的鍵值改為:
"ScreenSaveActive" = 1
"ScreenSaveTimeOut" = 60
"SCRNSAVE.EXE" = "%System%sstext3d.scr"
以便在系統空閒一分鐘後馬上激活病毒(螢幕保護程式已經被病毒覆蓋)
這幾個鍵值的系統默認值為:
"ScreenSaveActive" = 0
"ScreenSaveTimeOut" = 900
"SCRNSAVE.EXE" = ""
發作現象:
A、關閉防火牆
B、打開2222連線埠(UDP)監聽遠程連線請求。
特別說明: