这是一个以dll方式工作的后门病毒。可以躲过防火墙的拦截。
一、病毒感染系统的过程:
1.使用互斥量“NR1.0B6.2”作为自身运行标志。
2.创建HKEY_CLASSES_ROOT\dllfile\shell\open\command,并且把默认值设置为“.”
3.把自己复制为“C:\WINNT\NR\ipcom.exe”,然后将他运行起来;同时创建并运行“C:\tmp.bat”。
该脚本文件运行后,删除病毒文件自身。
用户看到的现象是:双击了一个程序(病毒程序),什末反应也没有;五秒钟后,这个程序文件自动消失了。
二、运行于系统中的病毒。
1.将体内资源名称为“EXEFILE”的数据保存为文件C:\WINNT\NR\ieplorer.dll,
2.查询注册表中“ProgramFilesDir”对应的数据,找到“ieXPlore.exe”的完整路径。
病毒创建新的IE进程,以远程线程的方式把病毒模块“ieplorer.dll”加载到“iexplore.exe”中运行。
病毒采用这种方式达到三个目的:
1)从进程管理器中隐藏自己。
2)以系统“iexplore.exe”的名义访问网络,躲避防火墙的拦截。
3)增加被清除的难度。
三、病毒功能主模块ieplorer.dll。
该模块被加载后,创建一个新的线程,监听指定的端口,等待远程控制命令,打开系统后门。
为黑客提供下列控制服务:
1.截取屏幕
2.获取文件
3.上传文件
4.启动键盘记录
5.停止键盘记录
6.结束指定的进程
7.从新启动计算机
8.启动CMD程序
9.执行系统命令
10.获取系统信息
11.从指定的地址中下载文件。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-12-23
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
