Backdoor/Mutny

病毒长度：38，880 字节

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Backdoor/Mutny盗取密码，记录键击记录并随机打开TCP端口。

传播过程及特征：

1.生成文件：

%System%\\BOOT32.SYS

%System%\\SDMAPI.SYS

%System%\\DEBUGG.DLL

%System%\\C3.DLL

%System%\\C3.SYS

%System%\\C4.SYS

%System%\\W32_SS.EXE

%System%\\KLOGINI.DLL

%System%\\P2.INI

2.删除文件：

%System%\\drivers\\klpf.sys

%System%\\drivers\\klif.sys

3.修改注册表：

/添加键值："Impersonate"="[随机数字]"

到注册表：HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control

/生成子键：HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\MPRServicesTestService

/添加键值：

"DllName"="debugg.dll"

"Startup"="MemManager"

"Impersonate"="1"

"Asynchronous"="1"

"MaxWait"="1"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\debugg

/生成子键：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\boot32

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\sdmapi

4.在感染的计算机上搜集密码并发送给木马作者；此外记录键盘敲击记录保存在文件%System%\\KLOGINI.DLL下，周期性的发送给攻击者；还可能打开两个随机的TCP端口运行HTTP和SOCKS代理。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。