§ 概述

病毒别名：Backdoor.IcmpCmd.10【AVP】

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

§ 病毒行为:

这是一个通过命令行启动的后门病毒，它将自身的一个副本创建为开机运行的系统服务并加载，然后开设Icmp后门，下载指定网络文件并运行，该病毒可以穿过默认设置的防火墙，将给中毒用户带来难以预测的危害。

1.当给该病毒传递Install命令后，它将自身复制为%System%\tkrnl.exe，并将其创建为开机运行的系统服务并加载。

2.修改注册表，以创建服务ntkrnl。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\tkrnl

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="%System%\tkrnl.exe"

"DisplayName"="ntkrnl"

"ObjectName"="LocalSystem"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\tkrnl\\Security

"Security"="<系统相关>"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\tkrnl\\Enum

"0"="Root\\\\LEGACY_NTKRNL\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NTKRNL

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NTKRNL\\0000

"Service"="ntkrnl"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="<系统相关>"

"DeviceDesc"="ntkrnl"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NTKRNL\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="ntkrnl"

3.开启ICMP后门，接受外界黑客发来的指令。比如下载网络文件并运行。

• 邹积洋烈士
• 邹积球烈士
• 邹积生烈士
• 邹积祈烈士
• 邹积遥烈士
• 邹立基
• 邹立拜烈士
• 邹竞蒙
• 邹纪优烈士
• 邹纪杰烈士
• 邹纪求烈士
• 邹纯发烈士
• 邹练锋
• 邹细毛烈士
• 邹绍先
• 邹绍孟
• 邹绛
• 邹统琮烈士
• 邹统锡烈士
• 邹继泽
• 邹维之
• 邹维华
• 邹维琏
• 邹绿芷
• 邹缉