一个后门程序:
该病毒运行后,将自己复制到system目录,windows目录,开始菜单的启动项
文件名为
Load32.exe,Rundllw.exe,Dllreg.exe,VxdMgr32.exe。
并在注册表中加入自己的键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Load32
病毒在windows目录中释放一个名为guid32.dll的文件(该程序负责对键盘操作进行记录)
病毒建立5个线程分别用以实现:
1.监听1000端口实现一个类似FTP的服务端。以方便作者对被控制的系统进行文件操作该服务器能实现的操作命令为:
user,pass,stor,port,pwd,list,cwd,retr,stor
mkd,rmd,rnfr,rnto,dele,syst,quit,type,rest
cdup
2.监听1001端口实现一个后门控制服务端。控制者使用控制台程序连接到系统对其进行一些控制操作。该服务器能实现的操作命令为:
!exec,!quit,!cdopen,!cdclose,!screen,!msgbox,!sndplay
3.建立一个不可见的窗口,监听系统剪贴板的数据并它记录下来。
4.搜所WebMemory软件的用户信息文件。并把它发送到作者的email地址
5.该病毒把记录下的信息(键盘击键记录,剪贴板的数据,远程管理的帐号密码,记录的ICQ号,及本地系统ip)发送到一个指定信息。以方便作者通过后门对系统进行控制。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-6-7
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
