冒名者病毒发表评论(0)编辑词条

冒名者病毒　　

    病毒名称：冒名者（Backdoor/VB.Sfcdis）
　　病毒类型：后门
　　病毒大小：73728字节
　　传播方式：网络
　　危害程度：★★
　　2005年1月25日，江民反病毒中心截获一个由VB语言编写的后门病毒Backdoor/VB.Sfcdis。该病毒试图禁用Windows 2000/XP/2003的系统文件保护功能，进而替换系统文件。还会收集用户系统信息向某网站提交，并能够根据远程黑客命令，在用户机器上进行文件复制删除、截取屏幕画面、发送消息等操作。
　　病毒具体技术特征如下：
　　1.运行后显示如下对话框：
　　2.创建下列文件：
　　c:\recycled.exe, 73728字节，隐藏属性文件，病毒本身
　　c:\autorun.inf, 44字节，隐藏属性文件，自动播放配置文件，指向病毒程序。
　　这样，用户每次双击c:驱动器盘符，都会激活病毒程序。
　　3.添加或修改下列注册表键值：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue" = 00000000
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　"SFCDisable" = 00000001
　　这样，使用Windows资源管理器浏览文件时将不会显示隐藏文件，在系统文件被破坏时，Windows 2000/XP/2003也不会发出警告。
　　4. 尝试用自身替换系统文件%SystemDir%\Rundll32.exe。一旦替换成功，每次Rundll32.exe被调用时都会激活病毒程序。正常的Rundll32.exe被完全破坏，只能通过备份恢复。
　　5. 收集用户系统的进程列表、机器名、驱动器等信息，向网页脚本http://virtu****st.w**plus.com.cn/v**rl/v.asp提交。
　　6. 根据黑客命令，可以在用户本地系统进行下列操作：
　　文件复制、移动、删除、改变属性；
　　文件夹复制、移动、删除、新建；
　　运行程序；
　　弹出消息对话框，包含字符串“从 xfastx 到……的消息”；
　　抓取用户屏幕画面