找回密码
 注册

QQ登录

只需一步,快速开始

查看: 782|回复: 2
收起左侧

[注意]病毒播报!(9.14)

[复制链接]

该用户从未签到

发表于 2004-9-15 00:08 | 显示全部楼层 |阅读模式
WINDOWS下的PE病毒
1.Backdoor.SdBot.zy
破坏方法:后门病毒,主要破坏行为如下。
一、IRC(Internet Relay Chat)连接。

    试图通过chatsvc.bounceme.net 的TCP 6667 端口 建立通讯。
二、文件和注册表
    1. 复制自己到系统目录,命名为“wupdmngr.exe”。
    2. 在下列键添加启动项“Windows Update Manager”使病毒随Windows的启动而自动运行。
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
        \Currentversion\Run
        HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
        \Currentversion\RunServices
三、建立通讯后,接收远程控制命令。
   1. 偷用户正版游戏的序列号。
      Command & Conquer Generals 、
      FIFA 2003 、NFSHP2 、SOF2 、
      Soldier of Fortune II - Double Helix
      Battlefield 1942  
      Project IGI 2 、Unreal Tournament 2003  
      Half-Life  

   2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
   3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
   4. 发动SYN 攻击,造成指定机器拒绝服务。
   5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
   6.  终止系统的进程和线程。

2.Backdoor.SdBot.zx
破坏方法:IRC后门程序
病毒采用VC编写。
病毒运行后将有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"msgfix.exe"。
二、修改以下注册表键,以达到其自启动的目的:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"Configuration Loader"  数据值为:MSGFIX.EXE
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"Configuration Loader"  数据值为:MSGFIX.EXE
3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
增加数据项:"Configuration Loader"  数据值为:MSGFIX.EXE
三、试图利用病毒附带的密码字典猜测网络中其他主机的IPC密码,如果连接成功病毒将复制自己到该主机。
四、搜索以下游戏的CDKey:
Command & Conquer
FIFA 2003
Need For Speed Hot Pursuit
Soldier of Fortune II
Rainbow Six III
Battlefield 1942
Counter-Strike
Unreal Tournament 2003
Half-Life
五、以特定昵称登录指定的IRC频道,为其控制端提供远程控制服务。

3.Backdoor.Retnirp
破坏方法:这是一个VC++编译的后门病毒
该病毒,将修改注册表自启动项以使自己随系统自启动;
通过监听本地的一个随机的TCP端口,建立一个HTTP的代理服务器并将本机IP地址、监听的TCP端口发送到远程的机器上,远程的IP地址是病毒内置,按顺序访问由28个字节组成的IP,为如下所示:
200.135.59.67.19.229.114.69.50.173.163.147.79.244.57.69.65.05.04.23
.206.105.42.154.82.115.07.36
因此访问的IP应该为:
200.135.59.67
    135.59.67.19
        59.67.19.229
...
依此类推。

破坏方法:
  1.修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"rinter" = "%CURFLIE%"


4.Trojan.PSW.PS-Client.a
破坏方法:此病毒启动后在后台隐藏运行,盗取保存在缓冲中的NT、win2k登录用户名密码,并且通过网络将密码发送出去,此病毒还会从网络上下载文件并且运行。
破坏方法:
  1.修改注册表:
在注册表中添加下列的自启动项  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run "cClient"  
清除方法:
运行注册表编辑器 Regedit.exe ,删除下列键值
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run "cClient"  
先将病毒进程结束,然后删除病毒文件,或者在安全模式下启动然后删除注册表键值和文件。

5.Backdoor.Padodor.q
破坏方法:后门程序,用VC编写。运行后将自己拷贝到系统目录下,文件名随机。
释放一个动态库病毒Backdoor.Padodor.q.dll,文件名也随机。修改注册表将这个动态库注册为COM组件,且开机就加载。
创建互斥量“Engel_11”,保证不会多重启动。
98下会注册为服务。
监听本地端口等待远程连接。
从本地上网后留下的网页文件中搜索信息,发送给客户控制端,容易造成用户隐私泄漏

该用户从未签到

发表于 2004-9-15 01:13 | 显示全部楼层

[注意]病毒播报!(9.14)

嘻嘻~怎么没人理呀,晴儿帮你顶一下!
回复 支持 反对

使用道具 举报

该用户从未签到

发表于 2004-9-15 23:05 | 显示全部楼层

[注意]病毒播报!(9.14)

呵呵~
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|《唐诗宋词》网站 ( 苏ICP备2021032776号 )

GMT+8, 2024-11-16 19:41 , Processed in 0.075259 second(s), 18 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表