| 订阅 | 在线投稿
分享
 
 
 

Win32.Hack.IRCBot.ir

来源:互联网  宽屏版  评论
2008-08-14 22:44:45

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

黑客程序

病毒长度:

75776

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个黑客后门程序,病毒运行后会关闭Windows的一些安全服务,连接远程IRC服务器,使用户受控于黑客。

1、病毒运行后复制自身到%system%\lviss.exe,并运行,退出原病毒进程并删除文件。

2、修改注册表,添加名为WindowsPEDebugger的服务,并设置其为开机自动启动。

3、创建如下注册表项及其子键,并将其驱动程序指向病毒刚刚创建的服务:

HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER

4、修改如下注册表项,关闭及禁用Windows防火墙,关闭自动更新禁止安装sp2补丁,并禁用以下系统服务SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚举用户、关闭系统默认共享:

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

"EnableFirewall"=0x0

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

"EnableFirewall"=0x0

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate]

"AUOptions"=0x1

[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]

"Start"=0x4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]

"Start"=0x4

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]

"restrictanonymous"=0x1

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=0x0

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]

"AutoShareServer"=0x0

[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"DoNotAllowXPSP2"=0x1

5、从网络上下载病毒文件到如下目录:

C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe

C:\WINDOWS\TEMP\eraseme_25413.exe

6、连接远程IRC服务器的6667端口,等待黑客命令。

 
病毒名称(中文): 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 黑客程序 病毒长度: 75776 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个黑客后门程序,病毒运行后会关闭Windows的一些安全服务,连接远程IRC服务器,使用户受控于黑客。 1、病毒运行后复制自身到%system%\lviss.exe,并运行,退出原病毒进程并删除文件。 2、修改注册表,添加名为WindowsPEDebugger的服务,并设置其为开机自动启动。 3、创建如下注册表项及其子键,并将其驱动程序指向病毒刚刚创建的服务: HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER 4、修改如下注册表项,关闭及禁用Windows防火墙,关闭自动更新禁止安装sp2补丁,并禁用以下系统服务SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚举用户、关闭系统默认共享: [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] "EnableFirewall"=0x0 [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] "EnableFirewall"=0x0 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate] "AUOptions"=0x1 [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr] "Start"=0x4 HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Services\Messenger] "Start"=0x4 [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=0x1 [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareWks"=0x0 [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters] "AutoShareServer"=0x0 [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "DoNotAllowXPSP2"=0x1 5、从网络上下载病毒文件到如下目录: C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe C:\WINDOWS\TEMP\eraseme_25413.exe 6、连接远程IRC服务器的6667端口,等待黑客命令。
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有