[注意]病毒播报！（9.14）

花落无声

WINDOWS下的PE病毒
1.Backdoor.SdBot.zy
破坏方法：后门病毒，主要破坏行为如下。
一、IRC（Internet Relay Chat）连接。

    试图通过chatsvc.bounceme.net 的TCP 6667 端口 建立通讯。
二、文件和注册表
    1. 复制自己到系统目录，命名为“wupdmngr.exe”。
    2. 在下列键添加启动项“Windows Update Manager”使病毒随Windows的启动而自动运行。
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
        \Currentversion\Run
        HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
        \Currentversion\RunServices
三、建立通讯后，接收远程控制命令。
   1. 偷用户正版游戏的序列号。
      Command & Conquer Generals 、
      FIFA 2003 、NFSHP2 、SOF2 、
      Soldier of Fortune II - Double Helix
      Battlefield 1942  
      Project IGI 2 、Unreal Tournament 2003  
      Half-Life  

   2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接，把病毒复制过去，并运行起来，进行新的破坏。病毒带有一个密码字典，包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
   3. 记录键盘输入，保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码（Windows登陆、邮箱、论坛、游戏、网络支付等等）。
   4. 发动SYN 攻击，造成指定机器拒绝服务。
   5. 下载文件并运行。往往用作传递新的远程控制程序，进行直接控制。
   6.  终止系统的进程和线程。

2.Backdoor.SdBot.zx
破坏方法：IRC后门程序
病毒采用VC编写。
病毒运行后将有以下行为：
一、将自己复制到%SYSDIR%目录下，文件名为"msgfix.exe"。
二、修改以下注册表键，以达到其自启动的目的：
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项："Configuration Loader"  数据值为：MSGFIX.EXE
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
增加数据项："Configuration Loader"  数据值为：MSGFIX.EXE
3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
增加数据项："Configuration Loader"  数据值为：MSGFIX.EXE
三、试图利用病毒附带的密码字典猜测网络中其他主机的IPC密码，如果连接成功病毒将复制自己到该主机。
四、搜索以下游戏的CDKey：
Command & Conquer
FIFA 2003
Need For Speed Hot Pursuit
Soldier of Fortune II
Rainbow Six III
Battlefield 1942
Counter-Strike
Unreal Tournament 2003
Half-Life
五、以特定昵称登录指定的IRC频道，为其控制端提供远程控制服务。

3.Backdoor.Retnirp
破坏方法：这是一个VC++编译的后门病毒
该病毒，将修改注册表自启动项以使自己随系统自启动；
通过监听本地的一个随机的TCP端口，建立一个HTTP的代理服务器并将本机IP地址、监听的TCP端口发送到远程的机器上，远程的IP地址是病毒内置，按顺序访问由28个字节组成的IP，为如下所示：
200.135.59.67.19.229.114.69.50.173.163.147.79.244.57.69.65.05.04.23
.206.105.42.154.82.115.07.36
因此访问的IP应该为：
200.135.59.67
    135.59.67.19
        59.67.19.229
...
依此类推。

破坏方法:
  1.修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"rinter" = "%CURFLIE%"


4.Trojan.PSW.PS-Client.a
破坏方法：此病毒启动后在后台隐藏运行，盗取保存在缓冲中的NT、win2k登录用户名密码，并且通过网络将密码发送出去，此病毒还会从网络上下载文件并且运行。
破坏方法:
  1.修改注册表:
在注册表中添加下列的自启动项  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run "cClient"  
清除方法:
运行注册表编辑器 Regedit.exe ，删除下列键值
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run "cClient"  
先将病毒进程结束，然后删除病毒文件，或者在安全模式下启动然后删除注册表键值和文件。

5.Backdoor.Padodor.q
破坏方法：后门程序，用VC编写。运行后将自己拷贝到系统目录下，文件名随机。
释放一个动态库病毒Backdoor.Padodor.q.dll，文件名也随机。修改注册表将这个动态库注册为COM组件，且开机就加载。
创建互斥量“Engel_11”，保证不会多重启动。
98下会注册为服务。
监听本地端口等待远程连接。
从本地上网后留下的网页文件中搜索信息，发送给客户控制端，容易造成用户隐私泄漏

不败恋人

嘻嘻~怎么没人理呀，晴儿帮你顶一下!

冰妮

呵呵~