§ 概述

病毒别名：Backdoor.IcmpCmd.10【AVP】

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

§ 病毒行为:

这是一个通过命令行启动的后门病毒，它将自身的一个副本创建为开机运行的系统服务并加载，然后开设Icmp后门，下载指定网络文件并运行，该病毒可以穿过默认设置的防火墙，将给中毒用户带来难以预测的危害。

1.当给该病毒传递Install命令后，它将自身复制为%System%\tkrnl.exe，并将其创建为开机运行的系统服务并加载。

2.修改注册表，以创建服务ntkrnl。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\tkrnl

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="%System%\tkrnl.exe"

"DisplayName"="ntkrnl"

"ObjectName"="LocalSystem"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\tkrnl\\Security

"Security"="<系统相关>"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\tkrnl\\Enum

"0"="Root\\\\LEGACY_NTKRNL\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NTKRNL

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NTKRNL\\0000

"Service"="ntkrnl"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="<系统相关>"

"DeviceDesc"="ntkrnl"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NTKRNL\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="ntkrnl"

3.开启ICMP后门，接受外界黑客发来的指令。比如下载网络文件并运行。

• verruca
• versatile
• versicle
• Version 2
• verso
• VersoNetPerformer中继访问设备用户名溢出漏洞
• vertebrate
• vertiginous
• veruca salt
• vervain
• VeryCD
• VESA总线
• vessel
• vest
• vestry
• vet
• veteran
• veterinarian
• vettray.exe
• vex
• vexatious
• vexed
• VexterShader
• VFD
• VFM5轻型坦克