|
- UID
- 288365
- 帖子
- 22
- 精华
- 0
- 威望
- 0
- 阅读权限
- 100
- 注册时间
- 2005-5-24
|
刚才用瑞星查了一下.
Backdoor.Wootbot.ar
Wootbot病毒变种。是一种IRC后门,集黑客,蠕虫,后门功能于一体。
通过局域网共享目录和利用系统漏洞进行传播。体内带有弱口令字典,用户如不注意设定密码则系统很
容易被攻破。
拷贝到系统目录下,文件名为:MSN32.EXE
病毒修改以下注册表启动项,每次开机病毒都能启动。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"win32 regedit" = "MSN32.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"win32 regedit" = "MSN32.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"win32 regedit" = "MSN32.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunOnce
"win32 regedit" = "MSN32.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunOnce
"win32 regedit" = "MSN32.EXE"
病毒也添加服务:
服务名称为Win32 USB2 Driver,迷惑用户
运行后连接特定IRC服务器的特定频道,接受黑客控制,发送本地信息。
接收黑客发来的命令在本地执行。并将执行结果发会IRC聊天频道。病毒会扫描网段内的机器并猜测共
享密码,会占用大量网络带宽资源,容易造成局域网阻塞。 |
|
发表于 2005-7-11 12:10
| 