Backdoor/Berbew.a

病毒长度：39,140 字节

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Backdoor/Berbew.a是一个远程访问的木马，运行后有下列功能：

使感染的机器作为Web代理服务器

检查远程服务器的升级

记录感染计算机缓存里的密码信息并发送给黑客

传播过程及特征：

1.复制自身到系统目录下，文件名为<8个任意字符>.exe；

在系统目录下生成文件，文件名为<8个任意字符>.dll。

2.修改注册表：

[HKEY_CLASSES_ROOT\\CLSID\\\\InProcServer32]

"(Default)" = "生成的dll文件路径"

"ThreadingModel" = "Apartment"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad]

"Web Event Logger" =

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

"FormSuggest Passwords" = yes AutoSuggest

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON

#32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL

%s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance

pstorec.dll k

"FormSuggest PW Ask" = yes AutoSuggest SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON

#32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL

%s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance

pstorec.dll k

"Use FormSuggest" = yes AutoSuggest SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON

#32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL

%s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance

pstorec.dll k

3.在感染的计算机上打开两个端口，其中一个用作Web代理，一个用来进行通讯，一般情况下会选择端口7714 、8546 、12334 、12324 。

4.发送数据到远程PHP脚本，这些数据包含机器的IP地址以及打开的端口号信息，还包含一些"校验字符"用于木马间的校验通信。

5.木马运行后一些数据被保存到感染的计算机系统目录下，文件名为NTXGL16并具有.dat、.vxd、.sys扩展名。