爱情后门病毒II

编辑:围困网互动百科 时间:2020-04-04 09:30:48
编辑 锁定
本词条缺少概述信息栏名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
警惕程度:★★★★
  发作时间:随机
  病毒类型:蠕虫病毒
  传播方式:网络/邮件
  运行环境: WINDOWS 95/98/ME/NT/2000/XP
  感染对象:硬盘文件夹

病毒介绍:
  当病毒运行时,将自己复制到windows目录下自己分别复制到system目录下,文件名为

并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程,并对其殖入远程后门代码。
  (该代码,将响应用户tcp请求建方一个远程shell进程。win9x为command.com,NT,WIN2K,WINXP
  为cmd.exe)之后病毒将自身复制到windows目录并尝试在win.ini中加入run=RAVMOND.EXE。
  并进入传播流程。

病毒的几个功能:
  1.密码试探攻击:
  病毒利用ipc进行guest和Administrator账号的多个简单密码试探。(使用如12345678,abcdef,888888)
  如果成功病毒将尝试将自己复制到远程系统并试图注册成服务。
  2.放出后门程序:
  病毒从自身体内放出一个dll文件负责建立远程shell后门。(端口1092)
  病毒本身将自己注入到lsass进程中,并建立20168端口的shell后门
  3.盗用密码:
  盗取用户密码,并发送到指个信箱
  4.局域网传播:
  病毒穷举网络资源,并将自己复制过去。文件名为随机的选取,5.邮件地址搜索线程
  病毒启动一个线程通过注册表
  Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系统目录
  并搜索*.ht*中的email地址。用以进行邮件传播。
  6.发邮件
  病毒利用mapi及搜出的email地址,进行邮件传播。

7.邮件通知病毒作者
  当病毒被运行后每一段间隔发送一次通知邮件给
  位于163.com的一个信箱。邮件的标题是xyz123xyz123
  内容为中毒系统的ip地址,以便利用病毒的后门
  进行控制。

  
词条标签:
非生活 生活