简介

病毒行为

流程

简介

病毒别名：

处理时间：

威胁级别：★★

中文名称：潜伏者

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为

这是一个适应性很强的后门病毒。它针对不同系统采取了不同的后门技术。在WinNT系统中，该病毒释放文件到系统存放驱动程序的目录并将它启动为系统服务进程，复制后的文件名svchost.exe为系统文件名。很容易让人误以为是系统进程。病毒创建的服务名字是：TSERV对该服务的描述是：“提供 TCP/IP (Services) 服务上的 Services 和网络上客户端的 Services 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。”，伪装成系统服务的模样，企图以假乱真。然后它向指定的网址发送上线通知并打开后门供攻击者访问并控制中毒电脑。在Win9X系统中，它释放出驱动程序并加载，通过驱动程序实现类似上述功能，荫蔽性更强，危害更大。

流程

1.在WinNT系统中它释放文件为%System%\\drivers\\svchost.exe，文件大小为36864字节，并将它启动为服务进程。在Win9X系统中它释放如下文件并加载：

%System%\pf.vxd（22627字节）

%System%\\PACKET.DLL（61440字节）

%System%\\PTHREADVC.DLL（53299字节）

%System%\\WPCAP.DLL（225280字节）

%System%\\RUND11.EXE（32768字节）

2.在WinNT系统中创建服务WindowSocketAPIService，修改注册表：

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TSERV]

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=<病毒程序的全路径的十六进制UNICODE码>

"DisplayName"="TCP/IP Service"

"ObjectName"="LocalSystem"

"Description"="提供 TCP/IP (Services) 服务上的 Services 和网络上客户端的 Services 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TSERV\\Security]

"Security"=<系统相关的十六进制码>

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\TSERV\\Enum]

"0"="Root\\\\LEGACY_TSERV\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

在Win9X系统中则加载驱动程序npf.vxd。

3.WinNt系统中打开后门，并向指定网址发送上线通知。在Win9X系统中加载驱动程序，打开后门，并向指定网址发送上线通知。