请输入您要查询的百科知识:

 

词条 Backdoor/Berbew.a
释义

Backdoor/Berbew.a

病毒长度:39,140 字节

病毒类型:木马

危害等级:*

影响平台:Win9X/2000/XP/NT/Me

Backdoor/Berbew.a是一个远程访问的木马,运行后有下列功能:

使感染的机器作为Web代理服务器

检查远程服务器的升级

记录感染计算机缓存里的密码信息并发送给黑客

传播过程及特征:

1.复制自身到系统目录下,文件名为<8个任意字符>.exe;

在系统目录下生成文件,文件名为<8个任意字符>.dll。

2.修改注册表:

[HKEY_CLASSES_ROOT\\CLSID\\\\InProcServer32]

"(Default)" = "生成的dll文件路径"

"ThreadingModel" = "Apartment"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad]

"Web Event Logger" =

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

"FormSuggest Passwords" = yes AutoSuggest

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON

#32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL

%s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance

pstorec.dll k

"FormSuggest PW Ask" = yes AutoSuggest SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON

#32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL

%s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance

pstorec.dll k

"Use FormSuggest" = yes AutoSuggest SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoComplete BUTTON

#32770 200 %s: %s %s %s %s WNetEnumCachedPasswords MPR.DLL

%s:%s %s [%s] '%s' [%s] %s : :// Internet Explorer PStoreCreateInstance

pstorec.dll k

3.在感染的计算机上打开两个端口,其中一个用作Web代理,一个用来进行通讯,一般情况下会选择端口7714 、8546 、12334 、12324 。

4.发送数据到远程PHP脚本,这些数据包含机器的IP地址以及打开的端口号信息,还包含一些"校验字符"用于木马间的校验通信。

5.木马运行后一些数据被保存到感染的计算机系统目录下,文件名为NTXGL16并具有.dat、.vxd、.sys扩展名。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/15 13:19:37