词条 | 特洛伊病毒Win32.Mitglieder.DU |
释义 | 特洛伊病毒Win32.Mitglieder.DU是一种特洛伊病毒,能够在被感染机器上打开一个后门,并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。 简介其它名称:W32/Bagle!ITW#122 (WildList), W32/Bagle-LF (Sophos), W32/Mitglieder.SV (F-Secure), Trojan.Tooso (Symantec), Email-Worm.Win32.Bagle.gi (Kaspersky) 病毒属性:特洛伊木马 危害性:高危害 感染方式病毒的主体程序运行时,会复制到: %System%\\wintems.exe Mitglieder.DU生成以下注册表,以确保每次系统启动时运行病毒: HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\german.exe = "%System%\\wintems.exe" 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 危害SOCKS Proxy Mitglieder.DU在25552端口打开一个SOCKS 4/5代理。 连接站点 Mitglieder.DU定期链接以下站点,这些站点与被感染机器的信息相关。包括运行后门的端口号和被感染机器的IP地址。 http://avistrade.ru/prog/img/proizvod/ http://mir-vesov.ru/p/lang/CVS/ http://monomah-city.ru/vakans/ http://pvcps.ru/images/ http://roszvetmet.com/images/ http://schiffsparty.de/bilder/uploads/ http://service6.valuehost.ru/images/ http://stroyindustry.ru/service/construction/ http://vladzernoproduct.ru/control/sell/t/ http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/ http://www.deadlygames.de/DG/BF/BF-Links/clans/ http://www.emil-zittau.de/karten/ http://www.etype.hostingcity.net/mysql_admin_new/images/ http://www.levada.ru/htmlarea/images/ http://www.mirage.ru/sport/omega/pic/omega/ http://www.ordendeslichts.de/intern/ http://8marta.ru/img/path/ http://asvt.ru/images/ http://calimasurf.com/images/base/orig/ http://celebrationsinspain.com/images/ http://coral-adventures.com/images/ http://dearruthie.com/images/ http://dmax.ru/images/ http://efpa-eg.net/images/ http://ferrumcomp.ru/images/ http://financialbusiness.ca/images/ http://golden-ring.net/images/ http://goodbathscents.com/images/ http://jamminjo.com/images/ http://kmold.biz/images/ http://kokon.com/images/ http://komt.ru/images/ http://magian.ru/images/ http://merkur-akademie.de/images/ http://nakorable.ru/htdocs/img/ http://optimsasia.com/images/ http://raz-naraz.wz.cz/html/fanklub/ http://redshop.ru/images/ http://sdom.ru/images/ http://spbso.ru/images/ http://tarkan.ru/images/ http://transaerotours.ru/img/ http://www.ipromocionales.com/images/ http://www.katjas-reisen.de/blog/images/colors/ http://www.moscowapartments.ru/images/_vti_cnf/ http://www.pechki.ru/images/ http://www.rhone.ch/images/ http://www.zdom.ru/images/ 下载文件 特洛伊从以下站点每隔1小时下载一个IP地址列表,保存到%System%\\ban_list.txt。这个文件用来链接后门。 http://avistrade.ru/prog/img/proizvod/ http://mir-vesov.ru/p/lang/CVS/ http://monomah-city.ru/vakans/ http://pvcps.ru/images/ http://service6.valuehost.ru/images/ http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/ http://trehrechie.ru/images/ http://turnstylesticketing.com/images/ http://twilightzone.cz/distro/ http://vniipo.ru/images/_notes/ http://voelckergmbh.de/images/ http://vserozetki.ru/images/ http://vtr-spb.ru/fp/mikrobus/gazel/ http://www.belteh.ru/images/ludi/ http://www.bmblawfirm.com/images/ http://www.enertelligence.com/playitsafe/images/ http://www.enkor.ru/images/ http://www.g-antssoft.com/images/icon/jpg/blog/ 停止并使服务失效 在WindowsXP 和 2000 上,Mitglieder.DU尝试停止以下服务,并使之失效: Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) service (the "SharedAccess" service), 和 the Security Center service ("wscsvc" - Windows XP Service Pack 2中引入) 在 Windows XP 系统上。 其他信息 特洛伊生成一个名为 '555' 的互斥体,以确保每次只有一个副本运行。它还会生成以下键值供它自己使用: HKCU\\SOFTWARE\\DateTime4\\uid = <Unique ID> HKCU\\SOFTWARE\\DateTime4\\port = <Port Number> HKCU\\SOFTWARE\\DateTime4\\wdrn = 1/0 - (指出它是一个新的还是一个老的感染。) 清除KILL安全胄甲Vet 30.3.3000 版本可检测/清除此病毒。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。