网站首页 | 精品社区 | 市场行情 | 产品大全 | 网站地图 | RSS订阅 | 收藏本站

·你绝对无法拒绝! 喜欢Firefox3
·教你两招巧妙隐藏需保密文件
·企业招聘更加看重员工忠诚度
·学生抱怨无法定位 月收入多少
·为什么FlashGet下载前停顿很长

　　Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)

　　危害程度:中

　　受影响的系统: Windows 2000， Windows XP， Windows Server 2003

　　未受影响的系统: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux

　　病毒危害：

　　1. 生成病毒文件
　　2. 插入正常系统文件中
　　3. 修改系统注册表
　　4. 可被黑客远程控制
　　5. 躲避反病毒软件的查杀

　　简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内(如:exe)，并与计算机的通口(TCP端口138)挂钩，监控计算机的信息、密码，甚至是键盘操作，作为回传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁。

　　Backdoor.Win32.Plutor

　　破坏方法：感染PE文件的后门程序

　　病毒采用VC编写。

　　病毒运行后有以下行为：

　　1、将病毒文件复制到%WINDIR%目录下，文件名为"；Spoolsv.exe"；，并该病毒文件运行。"；Spoolsv.exe"；文件运行后释放文件名为"；mscheck.exe"；的文件到%SYSDIR%目录下，该文件的主要功能是每次激活时运行"；Spoolsv.exe"；文件。如果所运行的文件是感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。
　　
　　2、修改注册表以下键值：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
　　
　　增加数据项："；Microsoft Script Checker"； 数据为："；MSCHECK.EXE /START"；
　　
　　修改该项注册表使"；MSCHECK.EXE"；文件每次系统激活时都将被运行，而"；MSCHECK.EXE"；用于运行"；Spoolsv.exe"；文件，从而达到病毒自激活的目的。
　　
　　3、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含"；winnt"；、"；Windows"；字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单，将正常文件的前0x16000个字节替换为病毒文件中的数据，并将原来0x16000个字节的数据插入所感染的文件尾部。
　　
　　4、试图与局域网内名为"；admin"；的邮槽联系，创建名为"；client"；的邮槽用于接收其控制端所发送的命令，为其控制端提供以下远程控制服务：显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。

文章导航： [spoolsv.exe]系统进程分析 [spoolsv.exe]究竟谁“伪装”成我了？

·教你两招巧妙隐藏需保密文件
·[inetinfo.exe]系统进程及相关问题分析
·[kernel32.dll]系统进程及相关问题分析
·[internat.exe]系统进程及相关病毒分析
·[lsass.exe]系统进程及相关病毒分析
·[mmtask.tsk]系统进程分析
·[regsvc.exe]系统进程分析
·[rpcss.exe]系统进程及相关问题分析
·[services.exe]系统进程及相关病毒分析
·[smss.exe]系统进程及相关病毒分析