Backdoor.LittleWitch.61.f.enc

病毒名称:

Backdoor.LittleWitch.61.f.enc

类别： 后门病毒

病毒资料：

破坏方法：

后门程序，监听本地31320号tcp端口和udp端口。

Delphi写的后门程序，运行后首先将自己拷贝到系统目录，文件名为Rundll.exe，然后删除自身。

启动两个线程

线程一：

循环写注册表

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RunDll : RunDll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

RunDll : RunDll.exe

这样病毒就能够开机自启动。如果是在98系统下病毒会注册为后台服务。

跟踪用户的鼠标操作操作，获得鼠标所在窗体的信息，并跟踪用户键盘操作。

监听本地31320号端口，等待远程连接，然后向外发送本地信息。

线程二：

连接远程主机wwp.mirabilis.com

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-4-29