Win32.Hack.PcMon.oxl
病毒别名: 处理时间:2006-12-08 威胁级别:★
中文名称: 病毒类型:黑客程序 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个后门程序。该病毒会利用系统漏洞及用户弱口令感染其他连网的机器,
并留后门供黑客控制受感染机器。
1、生成的文件
%SystemRoot%system32xebmon.exe
2、添加系统服务,随机器启动
HKLMSystemCurrentControlSetServicesxebmon
"Type" = "0x110"
HKLMSystemCurrentControlSetServicesxebmon
"Start" = "0x2"
HKLMSystemCurrentControlSetServicesxebmon
"ImagePath" = "%SystemRoot%system32xebmon.exe"
HKLMSystemCurrentControlSetServicesxebmon
"DisplayName" = "xebmon"
3、该病毒会扫描并连接网络中的ipc$等共享。
4、该病毒会收集感染机器信息。
5、修改%SystemRoot%system32driversetchosts文件
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.ahnlab.com
127.0.0.1 suc.ahnlab.com
127.0.0.1 auth.ahnlab.com
127.0.0.1 ahnlab.com
6、该病毒会生存并运行uninstall.bat批处理文件实现自删除。