病毒别名： 处理时间：2006-07-26 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个新的远程控制的后门,它用了新的方法启动,使后门更加隐蔽.

1:释放文件与自删除

病毒被运行后,会在System32下创建一个名为mscorlib.dll的文件,这是一个后门,

病毒名为Win32.Hack.Ghost.b.53248;并把mscorlib.dll进程注入到Explorer.exe

进程里面去,之后在System32下生成一个名为del.bat的隐藏文件,用于写入一条DOS

指令,把自己删除.

2:更改注册表

病毒会修改以下注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\MicroHQ

DllName -> mscorlib.dll

Logon -> StartProcessAtWinLogon

Logoff -> StopProcessAtWinLogoff

Start -> StartProcessAtStartup

这样使得在Windows登录的时候病毒就能把自己插入到winlogon.exe里面运行.

3:开放端口供黑客连接

病毒会通过Winlogon.exe进程,开放一个黑客指定的端口,以供黑客控制受感染机之用,

黑客一但连接上了,就可以轻易的获取受感染机上的所有信息.