介绍

行为

介绍

病毒别名：Backdoor.Win32.Jix.a[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

行为

这是一个后门病毒。病毒将自身复制的系统目录，并创建开机运行的服务“WUClient”，对该服务的描述是“Windows Update Client”，以欺骗用户；然后连接预定的IP和端口发送上线通知。后门种植者可以通过mIRC服务器、Shell等方式向中毒机器发送控制指令，从而可以获取中毒机器的系统资料、上传下载文件、下载网络文件到中毒机器、窃取用户机密信息等。病毒还可以通过弱密码攻击局域网进行主动传播，如果连接成功，则将自身复制到目标主机的系统目录。

1.将自身复制到%system%目录，可能为以下名字：

upnphost.exe

pnphost.exe

winpnp.exe

2.创建开机运行的服务“WUClient”，对注册的修改：

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WUClient ]

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="%System%\\<包含pnp的文件名>"

"DisplayName"="Windows Update Client "

"ObjectName"="LocalSystem"

"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,c0,45,0b,\\

00,01,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WUClient \\Security]

"Security"="<系统相关>"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WUClient \\Enum]

"0"="Root\\\\LEGACY_WUCLIENT_\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

3.连接预定的IP和端口发送上线通知，后门种植者可以通过mIRC服务器、Shell等方式向中毒机器发送控制指令。

4.到预定的FTP服务器下载文件到本地计算机运行。

5.病毒还可以通过弱密码攻击局域网进行主动传播，如果连接成功，则将自身复制到目标主机的系统目录。