Backdoor/Padodor.a.dll

王朝百科·作者佚名 2010-01-30

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/Padodor.a.dll是一个后门木马程序，可以从感染病毒的计算机上盗取密码并将感染的机器作为Web代理。

传播过程及特征；

1.复制自身为：%System%<8个任意字符>.exe

生成文件：%System%<8个任意字符>.dll

2.修改注册表：

添加下列键值：

"(Default)" = "%System%/<8个任意字符>.dll"

"ThreadingModel" = "Apartment"

到注册表：HKEY_CLASSES_ROOTCLSID{79FB9088-19CE-715E-D900-216290C5B738}InProcServer32下；

添加键值："Web Event Logger" = "{79FB9088-19CE-715E-D900-216290C5B738}"

到注册表：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad下。

3.监听两个担任代理服务器的TCP端口，默认情况下为TCP端口9999和7777。

4.监听TCP端口32121和23232，并在此等待攻击者指令。

5.从IE缓存中收集一些有价值的信息，比如密码，然后发送到特定的URLs。

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000), 或

C:WindowsSystem32 (Windows XP)。