病毒名称：Backdoor.AntiLam.20

发现日期：2002-08-30

病毒类型：木马病毒

传播范围：低

危害级别：低

传播速度：低

病毒介绍：

Backdoor.AntiLam.20木马病毒是一个秘密的弹性攻击程序，能够允许非法访问被病毒感染的计算机。此病毒是运用Dephi 编写的，并使用UPX（1.05-1.22版）进行了压缩处理。它是通过端口29999和47891来侦听被病毒感染的计算机的。此病毒感染安装有Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP 操作系统的计算机，而不会感染安装有 Windows 3.x, Macintosh, Unix, Linux操作系统的计算机。

1.此病毒能够更改用户注册表。

2.可以用尽各种办法侦听用户机密的信息，并通过端口29999和47891向外传送。

3.允许非法访问被病毒感染的计算机，同时降低系统安全级别。

4.能够终止一些反病毒软件和防火墙程序的正常运行。

5.对外非法开放29999和47891端口。

6.此病毒一旦被激活并开始运行，它将本身复制到%windir%\\Help.exe下,即：

C:\\Windows\\Help.exe

C:\\Winnt\\Help.exe

此病毒也能够新生成一个%windir%\\Scan.dll文件，即：

C:\\Windows\\Scan.dll

C:\\Winnt\\Scan.dll。

7.此病毒能够生成键值（Start）到注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DirectX中；

此病毒也能够添加键值（MS Scandisk %windir%\\Help.exe）到注册表：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中,使得机器启动时

，病毒就会自动运行。

8.此病毒能够通过非法对外开外的端口29999和47891来侦听：

（1）用户的上网拨号号码

（2）用户的上网登录名称

（3）用户的上网登录密码

此病毒同时也可以做下列各项工作：

（1）可以传送计算机系统和网络通知给黑客，其中包括网络登陆名称和登陆口令信息。

（2）非法打印文件，播放媒体文件，打开或关闭光盘驱动器。

（3）可以隐蔽图标、系统按钮和桌面任务栏。

（4）侦听用户机密信息并将其传给病毒程序作者。

（5）非法下载和执行文件。

（6）改变系统参数，比如：系统分辨率和系统颜色。

（7）在Windows 95/98/Me操作系统中利用其缺陷使用户的系统崩溃。

解决方案：

1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的Backdoor.AntiLam.20木马病毒。

2.到注册表编辑器:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DirectX中将键值：

Start删除；

同时到注册表编辑器：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中将键值：

MS Scandisk %windir%\\Help.exe删除。