Backdoor.MiniCommander.202.enc

病毒名称:

Backdoor.MiniCommander.202.enc

类别： 后门病毒

病毒资料：

破坏方法：

后门程序，打开并监听两个端口，端口号不定，能杀死多个著名反毒进程。

Delphi写的后门程序，运行后将自己拷贝到windows目录，文件名为server.exe，修改系统配置文件system.ini，

将shell=eXPlorer.exe改为shell=explorer.exe server.exe。这样，每次系统启动时病毒就会启动。

运行后结束下列反病毒进程：

avpcc，Mcshield，VsMain，VsSta，Webscanx，RuLaunch，Avconsol，VsStat，NMain，Navapw32，

NISSERV，SymPxSvc，NISUM，IAMAPP，APVXDWIN，PAVPROXY，vsmon，PERSWF，TAUMON，AVG

Control Center - FREE Edition，

NISUM.EXE，NISSERV.EXE，IAMAPP.EXE，NAVAPW32.EXE，NAVW32.EXE，Anti-Trojan.exe，iamapp.exe，

iamserv.exe，FRW.EXE，blackice.exe，blackd.exe，zonealarm.exe，vsmon.exe，WrCtrl.exe，

WrAdmin.exe，lockdown2000.exe，lockdown.exe，Sphinx.exe，VSHWIN32.EXE，VSECOMR.EXE，

WEBSCANX.EXE，AVCONSOL.EXE，VSSTAT.EXE，StartupMonitor.exe，protectx.exe，avpcc.exe，avpm.exe， alogserv.exe，RuLaunch.exe，Navapw32.EXE，navapsvc.EXE，ATRACK.EXE，SymPxSvc.EXE，NMain.EXE，

PAVPROXY.EXE，zapro.exe，zalus.exe，PERSWF.EXE，TAUMON.EXE，BlackICE.exe，blackd.exe ，

AVGCC32.EXE，AVGW.EXE....

如果是98系统则注册为后台进程，使用户难以结束。

跟踪用户的鼠标位置，获得鼠标所在窗体的信息。

检查网络状况，如正连在互联网上直接连接外部网站。

打开并监听两个本地端口，端口号不定，等待远程连接，并准备将本地信息发送出去。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-4-29