“代理器木马变种AZU”病毒技术细节
点击次数:28 次 发布日期:2008-11-25 17:52:32 作者:源代码网
|
1、 病毒在运行后会把自己复制到C:Windows目录下并把文件属性设置为隐藏,文件名随机生成。 2、 修改注册表项: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced 键值"ShowSuperHidden" = 0X00000000,修改后系统的Explorer.exe中将不显示隐藏文件,实现的简单的文件隐藏功能,这样用户将不会轻意在C:Windows目录下看到病毒主体。 病毒为下次运行做准备 1、每隔1秒,病毒会自动检查所有磁盘并在每个磁盘根目录下生成一个autorun.inf文件,当用我的电脑双击磁盘打开、点击磁盘自动播放或在运行中直接输入盘符进入磁盘时病毒会自动运行。 Autorun.inf文件内容如下: [AutoRun] open=病毒文件名 shellexecute=病毒文件名 shell\Auto\command=病毒文件名 2、 修改注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun 键值"ctfmon.exe" = 病毒文件名 在注册表的启动项中增加一个"ctfmon.exe"键值,当系统启动时让病毒也跟随系统一同启动。 病毒的主要工作: 病毒运行后,会自动连接njhacker001.vicp.net 的IP,并且打开本机端口11111进行监听等待恶意用户进行连接。 当机器被恶意用户连接后,被感染的计算机作为代理服务器,被恶意用户使用。 安全建议: 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。 清除办法: 瑞星杀毒软件清除办法: 安装瑞星杀毒软件,升级到19.44.10版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。 源代码网供稿. |
