Backdoor/Evncil

病毒长度：变长

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Backdoor/Evncil在用户不知道的情况下安装WinVNC程序，允许黑客未经授权便可以访问感染的计算机。

传播过程及特征：

1.复制自身为：

%System%\\iexplore.exe

%System%\\iexplorer.exe (WinVNC程序)

%System%\\stealth.dll

%System%\\othread2.dll

%System%\\vnchooks.dll (WinVNC程序)

2.显示一个带OK按钮的对话框，内容为：

The WinVNC service was successfully registed

The service may be started from the Controk

Panel,and will automatically be run the next time

this machine is reset

大致意思为：WinVNC服务已经成功注册，系统重起后将自动运行。

3.将stealth.dll文件嵌入到explore.exe进程，防止用户看到木马文件。

4.修改注册表：

/添加键值：

"OPTIMIZER"="%System%\\iexplore.exe"

"WinVNC"="%System%\\iexplorer.exe -servicehelper"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

/添加键值：

"AppInit_DLLs"="%System%\\stealth.dll"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Windows

5.监听并连接TCP端口5800和5900。