词条 | Backdoor/Berbew.a |
释义 | Backdoor/Berbew.a 病毒长度:39,140 字节 病毒类型:木马 危害等级:* 影响平台:Win9X/2000/XP/NT/Me Backdoor/Berbew.a是一个远程访问的木马,运行后有下列功能: 使感染的机器作为Web代理服务器 检查远程服务器的升级 记录感染计算机缓存里的密码信息并发送给黑客 传播过程及特征: 1.复制自身到系统目录下,文件名为<8个任意字符>.exe; 在系统目录下生成文件,文件名为<8个任意字符>.dll。 2.修改注册表: [HKEY_CLASSES_ROOT\\CLSID\\\\InProcServer32] "(Default)" = "生成的dll文件路径" "ThreadingModel" = "Apartment" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad] "Web Event Logger" = [HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main] "FormSuggest Passwords" = yes AutoSuggest SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON #32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL %s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance pstorec.dll k "FormSuggest PW Ask" = yes AutoSuggest SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON #32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL %s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance pstorec.dll k "Use FormSuggest" = yes AutoSuggest SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON #32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL %s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance pstorec.dll k 3.在感染的计算机上打开两个端口,其中一个用作Web代理,一个用来进行通讯,一般情况下会选择端口7714 、8546 、12334 、12324 。 4.发送数据到远程PHP脚本,这些数据包含机器的IP地址以及打开的端口号信息,还包含一些"校验字符"用于木马间的校验通信。 5.木马运行后一些数据被保存到感染的计算机系统目录下,文件名为NTXGL16并具有.dat、.vxd、.sys扩展名。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。