WordPress 中文文档

Backdoor/Dewin.k

From WordPress Chinese

Jump to: navigation, search

病毒长度:37,376 字节, 47,616 字节

病毒类型:木马

影响平台:Win9X/2000/XP/NT/Me

[编辑]

描述

Backdoor/Dewin.k是用VC++编写并用PECompact压缩的木马程序,使黑客可以访问并远程控制感染病毒的计算机。


[编辑]

传播过程及特征

  • 复制自身为:%Windows%\winreg.exe
  • 修改注册表:添加键值:
    • "SystemReg" = "%Windows%\winreg.exe run"
    • "SystemReg" = "%Windows%\svchost.exe run"
  • 到注册表:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
  • 可能生成下列文件:
    • %Windows%\Temp\Temp.bat
    • %Windows%\Temp\Temp.pif
    • %Windows%\Asfwin.sys
  • 利用TCP端口15553连接远程黑客。
取自"http://codex.wordpress.org.cn/Backdoor/Dewin.k"
用户