简介

病毒行为

应对

简介

病毒别名：Backdoor.Way.20[AVP]

处理时间：

威胁级别：★★

中文名称：黑暗之路

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为

这是一个后门病毒，它在用户电脑上打开后门，供黑客在未经授权的情况下非法访问用户的电脑并控制用户的电脑。它还修改文本文件的关联程序，即使开机时候没有病毒运行，当用户打开一个文本文件或者运行一个应用程序的时候，病毒就悄悄的运行了。而且该病毒文件的名字酷似系统文件和记事本文件，从而对用户更具迷惑性。用户电脑一旦被黑客控制以后，他可以像本地用户一样操作用户的文件和注册表；他可以获取用户的系统信息，如CPU信息，Windows版本，Windows目录，物理内存，注册公司，注册用户，当前用户，计算机名称，Windows序列号等；他还可以操作用户的光驱，重启计算机，关闭计算机等等。

应对

1.将自己复制为%system%\OTEPAD.EXE和%System32%msgsvc.exe。

2.修改注册表:

添加表项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"Msgtask"="%System%\\msgsvc.exe"

修改文本文件关联：

HKEY_CLASSES_ROOT\\Software\\Classes\\txtfile\\shell\\open\\command

"(Default)"="%System%\otepad.exe %1"

原始值为：

"(Default)"="%SystemRoot%\otepad.exe %1"

3.尝试打开以下TCP端口并监听：1111，1114，8011，供黑客连接并控制中毒电脑。

4.黑客可以对中毒电脑做一下操作：

文件和目录操作（创建，删除，重命名，改变属性，添加共享，映射驱动器等）；

获取系统信息（CPU信息，Windows版本，Windows目录，物理内存，注册公司，注册用户，当前用户，计算机名称，Windows序列号，注册码

，

窗口分辨率，盘驱动器容量，盘驱动器剩余容量等）；

光驱操作（打开，关闭，设置自动运行）；

恶作剧操作（锁定注册表，禁止自动拨号，关闭磁盘监控，关闭键盘监控，改变屏幕颜色，改变壁纸，改变计算机名字等）；

电源管理（重启计算机，关闭计算机）；

鼠标操作（锁定鼠标，交换鼠标左右键）；

窗口操作（最大化/最小化/关闭窗口、激活/隐藏/禁用窗口）；

注册表操作（创建，删除，重命名等）。