病毒别名：Backdoor.Optix.b[AVP]OptixPro.13[NAV]

处理时间：

威胁级别：★★

中文名称：欧斯132

病毒类型：黑客程序

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

Delphi

传染条件:

发作条件:

系统修改:

A、根据木马内置的设置，将自身复制两份到"%SystemRoot%"或"%System%"目录下。文件名在配置时指定

B、根据木马内置设置，可能在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

或 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下添加健值。

键值名，根据木马内置设置，键值数据为木马路径。

C、修改EXE文件关联：

HKEY_CLASSES_ROOTexefileshellopencommand

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

D、根据木马内置设置，可能在"%SystemRoot%System.ini"文件中，boot节添加一条

"Shell=Explorer.exe <木马路径>"

根据木马内置设置，可能在"%systemRoot%win.ini"文件中的windows节，添加一条

"Run = <木马路径>"

发作现象:

A、开端口，端口按木马内置设置，默认为3410

B、可以通过ICQ、CGI、MSN、IRC、PHP、SMTP的方式通知控制者

C、可以中止木马内置列表中的任意进程(多为防火墙进程)。

D、可以中止配置木马时指定的系统服务

E、黑客可以通过该后门进行一系列的非授权控制，如：

注销、关机、重启、获取系统信息、

上传下载文件、执行程序、修改、删除文件

显示用户的进程列表并中止指定进程

其他还有最大最小化窗口、注册表操作、启动服务……等

特别说明:

这是一个后门程序，具有极强的可定制性：从文件名到图标到行为，较难发现。