概述

病毒攻击流程

概述

病毒别名： 处理时间：2006-12-28 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个中国制造黑客后门程序和隐蔽性极强的木马,连续数年被反病毒厂商列为年度十大病毒.用户一旦被入侵,中毒后病毒会

自动连接远程黑客主机电脑将沦为肉鸡,任人宰割,受控于黑客。

病毒特征:使用远程注入、Ring3级Rookit等手段达到隐藏自身的目的.一般它会被人蓄意捆绑到一些所谓的免费软件中,并放到互联网上,诱骗用户下载.因为其具有很强的隐蔽性,所以用户一旦从不知名网站下载并误运行了这些软件,机器就会被控制,而且很难发觉.攻击者可以对感染机器进行多种任务操作,如文件操作、注册表操作、强行视频等等.

病毒攻击流程

1、释放病毒文件到

%Windows%

C:\\WINDOW.DLL

C:\\WINDOWKEY.DLL

之后删除自身。

2、添加注册表项，开机自动启动

[HKCU\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run]

"50"="C:\\WINDOWS"

3、记录用户键盘操作，连接远程主机，接受黑客命令。

注:Ring3 级是什么概念呢?我们通常使用的计算机在运行时有4个特权级别,Ring0、Ring1、Ring2、Ring3.Ring3是用户级别,修改 Windows系统从 Ring3 级入手最简单省事;Ring0 级是系统最内核部分,修改这部分代码异常困难.

注:rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具.通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限.进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限.接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息.通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统.