Backdoor/GhostBot.w

病毒长度：46,080 字节 (压缩后)，88,064 字节 (解压后)

病毒类型：后门

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

Backdoor/GhostBot.w用Delphi编写并经UPX压缩的后门程序,通过IRC、网络共享、文件共享网络以及挪威客变种病毒安装的后门进行传播。

传播过程及特征：

1.复制自身到安装目录，文件名随机。

2.修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

""="%Windir%\\<随机文件名>"

3.终止一些流行反病毒和安全应用程序的运行。

4.连接局域网共享C$，并复制自身为：C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\!ReadMe.exe

5.复制自身到一些文件共享软件目录下，如：Kazaa, Edonkey, Morpheus, XoloX, ShareAza, LimeWire等，此外还搜索在此目录下的所有.exe文件并附加自身。

6.连接特定的IRC服务器，并在此等待接收黑客发出的指令，在感染的计算机上有如下操作：

执行指令

通过FTP和HTTP搜索文件

重启计算机

列出进程表

终止特定进程

停止系统服务

发动HTTP flood、ICMP flood、SYN flood、UDP flood攻击

在感染的计算机上搜索邮件地址

通过HTTP搜索邮件地址列表

盗取系统生产ID号以及视频游戏CD key

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。