后门程序,启动后将自己释放到%SysDir%\Rikit目录下,释放一个驱动程序用于网络传输,释放一个动态库文件用于提供远程控制的功能,此病毒能够隐藏自身,在系统正常启动后无法找到此病毒文件以及进程,此病毒还将自己注册为系统的服务程序。
此病毒还提供TELNET的方式进行远程控制当此病毒拦截到键盘输入的时候,此病毒还会趁机判断当前是否是OICQ正在登陆输入用户名和密码,如果是的话此病毒就会将用户名和密码窃取。
此病毒还具有下列远程控制功能:
隐藏病毒进程ID,使其他程序无法通过ID找到此进程
隐藏进程名,使其他的程序无法通过名字找到此进程
隐藏此病毒增加的注册表键
隐藏此病毒增加的注册表键值
隐藏此病毒增加的用户名
隐藏此病毒增加的服务名
隐藏此病毒使用的TCP端口
隐藏此病毒使用的UDP端口
隐藏此病毒的文件
获取文件
安装文件
启动键盘记录
停止键盘记录
进行DDOS攻击
结束指定的进程
从新启动计算机
启动CMD程序
执行系统命令
获取系统信息
从指定的地址中下载文件。
病毒的清除法: 最好在安全模式下进行杀毒 此病毒的手动清除方法如下: 将计算机在安全模式下启动,启动任务管理器寻找进程Rtkit.exe,将其结束。在%SysDir%下查找目录Rtkit并将其删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-9-16
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
