词条 | Win32.Hack.VictFtp.as |
释义 | 病毒别名: 处理时间:2007-03-23 威胁级别:★ 中文名称: 病毒类型:黑客程序 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 该病毒是一个后门程序。运行该病毒会使系统成为ftp服务器。黑客通过病毒上报的系统信息可以完成控制受感染机器。 1、生成的文件 %SystemRoot%\\csrss.exe 2、添加启动项 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run "system" = "%SystemRoot%\\csrss.exe" 3、修改ie主页 HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\ "Start Page" = "http://debormammana.***/cgi-bin/tsp/tsout.cgi" 4、将感染机器信息上报到指定服务器,以便黑客通过用户ip地址控制感染机器 http://softwarediscount.***/images/add.php?name=%s&ip1=%s&ftpport=21&ftpuser=qwerty&ftppass=asdf&socks5port=%s&cid=damrai 5、结束指定进程。 6、添加注册表连接端口信息,是机器同时监听5637和21TCP端口 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\SOCKSPort "(Default)" = "0x1605"(5637) 7、病毒在系统中添加用户名为qwerty密码为asdf的ftp用户,感染机器可以被完成控制。 -------------------------------------------------------- ftp> open 127.0.0.1 Connected to 127.0.0.1. 220 vict. FTP User (127.0.0.1:(none)): qwerty 331 Password required for qwerty. Password: 230 User logged in, proceed. ftp> ls 200 Port command successful. 150 Opening data connection. A: C: D: E: Z: 226 Transfer ok ftp: 20 bytes received in 0.02Seconds 1.25Kbytes/sec. ftp> ------------------------------------------------------------- |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。