Win32.Hack.Prorat18

病毒别名：Backdoor.Prorat.18[AVP]

处理时间：

威胁级别：★★

中文名称：巨鼠变种18

病毒类型：黑客程序

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

upx压缩,delphi编写

传染条件:

用户误运行

发作条件:

会在系统开设后门等待攻击者的远程控制

系统修改:

1,拷贝自身到:

%System%Main.exe

%System%Loader.exe

%System%Msmsg.exe

%System%Winserv.dll

%System%Fservice.exe

%System%Sservice.exe

%Windir%Winlogon.exe

2,生成

%System%wininv.dll

%System%winkey.dll

3,向注册表添加:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

键值可能为:

"MSNMESENGER"="%System%Main.exe"

"DirectX for Microsoft Windows"="%System%Fservice.exe"

"DirectX for Microsoft Windows"="%System%Sservice.exe"

"StubPath"="C:WindowssystemSservice.exe"

4,修改注册表键值:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon

"explorer.exe %System%Fservice.exe"

5,在tcp50000 - 60000之间随机端口开设后门

6,向Winlogon注入dll,来监视用户的一些操作,防止木马主程序被结束掉.

发作现象:

本机会有下列文件:

%System%Main.exe

%System%Loader.exe

%System%Msmsg.exe

%System%Winserv.dll

%System%Fservice.exe

特别说明: