Backdoor/Mellpon
病毒名称:Backdoor/Mellpon
中 文 名:“魔婆”
病毒长度:136K左右
病毒类型:后门
危害等级:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
近日,江民反病毒中心接连截获伪装成文件夹的后门病毒Backdoor/Mellpon“魔婆”的多个变种样本。“魔婆”运行后会释放多个JPG图像文件,并会在TCP端口80开启HTTP服务,黑客通过该HTTP服务可以抓取被感染计算机的屏幕,并能够浏览和下载磁盘上的任意文件。该病毒图标酷似文件夹,被点击运行后,还会删除自身,在当前目录下建立同名文件夹,并向该文件夹中释放大量JPG图片。这些图片通常是色情照片或漫画。此行为具有很大迷惑性,使用户认为打开的就是一个真正的文件夹。随机选取C盘program files目录里面任意子文件夹,向其中释放病毒程序svchost.exe,并在注册表中添加启动项,使得病毒程序svchost.exe可以随Windows系统一同启动。 在TCP端口80开启后门服务,黑客通过该服务,可以用IE等网页浏览器观看被感染计算机的当前屏幕,或浏览下载磁盘文件。病毒将自身加入Windows防火墙的信任程序列表,将TCP 80端口加入Windows防火墙的允许打开端口列表。这样,Windows防火墙对于黑客通过病毒HTTP服务的浏览下载操作都不会报警。另外,“魔婆”还会结束多种杀毒软件、防火墙和调试工具进程,重定向多个常用网站,使得大多数常用杀毒软件无法升级。