病毒别名：Backdoor.Oblivion.01.a 【AVP】

处理时间：

威胁级别：★

中文名称：遗忘1.0

病毒类型：木马

影响系统：Win9X/ME/2000/XP/NT/2003

病毒行为:

编写工具:LCC-Win32

传染条件:

发作条件:

系统修改:

A、将复制自己为%System%(9X的%SystemRoot%system 或 NT/2K的%SystemRoot%system32)如下文件,可能会立即执行:

%System%Kernel32.pif

B、在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled ComponentsWin32 Kernel core component

添加以下键值

"StubPath"="C:WINDOWSSystem32Kernel32.pif ASC"

可能在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

添加以下键值：

"StubPath"="C:WINDOWSSystem32Kernel32.pif"

可能在注册表主键：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

添加以下键值：

"StubPath"="C:WINDOWSSystem32Kernel32.pif"

可能在注册表主键：

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

添加以下键值：

"load"="C:WINDOWSSystem32Kernel32.pif"

"run"="C:WINDOWSSystem32Kernel32.pif"

可能在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

添加以下键值：

"Shell" = "Explorer.exe Kernel32.pif"

C、可能修改C:WindowsSYSTEM.INI的节

[boot]

"Shell"="Explorer.exe Kernel32.pif"

D、可能修改C:WindowsWin.ini的节

[windows]

"load"=""

"run"= "c:WindowsKernel32.pif"

发作现象:

A、在TCP端口2004打开后门,并允许黑客凭密码远程访问感染的计算机,监听黑客发来的命令。

B、将用户的操作系统类型，计算机名字，IP地址，开放端口，访问密码，木马版本信息等等发送给木马种植者设置的网址。

特别说明: