Backdoor.ProRat.18.server

病毒名称:

Backdoor.ProRat.18.server

类别： 后门病毒

病毒资料：

破坏方法：

后门病毒的服务器

一、系统中的病毒文件

％SYSTEM％\fservice.exe

％SYSTEM％\winkey.dll

WINNT\system\sservice.exe

二、病毒修改的注册表

1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\EXPlorer\Run DirectX For Microsoft?Windows ： ％SYSTEM％\fservice.exe

2. HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}StubPath ： WINNT\system\sservice.exe

3. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe

％SYSTEM％\fservice.exe

三、病毒驻留内存，监听“5110”端口，等待远程控制命令。可以对本地注册表、进程、文件、服务进行访问。可以进行FTP、http服务。可以记录键盘操作等等。

四、病毒终止反病毒软件的服务程序：“NET STOP navapsvc”。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-4-29