Sep 01
远程木马172032
该毒进入用户电脑后,就在系统盘%WINDOWS%目录下释放出病毒文件kill.exe和killsetup.exe。病毒在注册表启动项中写入自己的信息,在每次开机时,它会以系统升级服务的名义一同启动。
当顺利运行起来,该毒就连接到病毒作者指定的远程网址http://qq.3**61.com/,等待黑客的指令。由于该毒已经获取了系统的管理权限,黑客可以执行任何其想要的操作,这对用户来说是很危险的。
该毒的部分变种具有下载器功能,会从上述网址下载一些伪装成图片文件的木马程序。
Win32.Troj.HmirT.yy.172032
病毒名称(中文):
远程木马172032
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
143360
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个远程控制木马。它会修改注册表中的数据,将用户电脑连接到病毒作者指定的远程地址,接收黑客指令。
在磁盘中释放出以下文件:
C:
C:\WINDOWS
C:\WINDOWS\kill.exe
C:\WINDOWS\killsetup.exe
在注册表中创建了以下信息:
“HKCU\Software\CNNIC\CdnClient\Update”
会从以下注册表中读取信息:
“HKLM\SOFTWARE\CNNIC\CdnClient\Update”
病毒会连接作者指定的网址:
http://qq.3**61.com/qq.jpg
域名:”qq.3**61.com” 端口:80 (TCP)
qq.3**61.com/qq.jpg
在系统中创建了以下进程:
病毒尝试打开 CLSID 为 {0000002C-5994-0005-530F-4243213C4000} 的组件
“kill.exe”
病毒会通过以下途径传播:
病毒会利用网络进行传播
