Win32.Troj.Vanquish

病毒别名：

处理时间：2004-02-28

威胁级别：★★

中文名称：藏匿者

病毒类型：木马

影响系统：Win2000/WinXP/Win2003

病毒行为:

木马，后门

编写工具:汇编

传染条件:被动运行，植入

发作条件:

系统修改:

A、添加一个名Vanquish Autoloader v1.0 beta10的服务

B、在C盘下添加一个日志文件：C:vanquish.log, 用于记录它自己的运行状态

C、在原始运行路径生成一个名为vanquish.bak的文件，其实是它的dll文件vanquish.dll的备份

D、在注册表键：

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerExplorer Bars{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}FilesNamedMRU

中添加如下键值：

"000" = "vanquish..."

添加如下键：

HKEY_CURRENT_USERSYSTEMControlSet001EnumRootLEGACY_VANQUISH

HKEY_CURRENT_USERSYSTEMControlSet001Servicesvanquish

HKEY_CURRENT_USERSYSTEMControlSet002EnumRootLEGACY_VANQUISH

HKEY_CURRENT_USERSYSTEMControlSet001Servicesvanquish

HKEY_CURRENT_USERSYSTEMCurrentControlSetEnumRootLEGACY_VANQUISH

HKEY_CURRENT_USERSYSTEMCurrentControlSetServicesvanquish

在注册表键：

HKEY_USERSS-1-5-21-746137067-789336058-854245398-500softwaremicrosoftinternet explorerexplorer bars{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}FilesNamedMRU

中添加如下键值：

"000" = "vanquish..."

发作现象:

A、如果vanquish服务安装成功，则开启一个TElNET/FTP服务

B、隐藏原始运行路径下的vanquish.bak，vanquish.exe, vanquish.dll

C、隐藏注册表，隐藏其进程，隐藏服务

特别说明:

如果vanquish服务安装成功， 它还会纪录系统登陆名和密码