致目前常见的是
BackdoorByshell又叫隐形大盗
隐形杀手
西门庆病毒)危害程度
中受影响的系统
Windows
WindowsXP
WindowsServer
未受影响的系统
Windows
Windows
WindowsMe
WindowsNT
Windows
x
Macintosh
Unix
Linux
病毒危害
生成病毒文件
插入正常系统文件中
修改系统注册表
可被黑客远程控制
躲避反病毒软件的查杀简单的后门木马
发作会删除自身程序
但将自身程序套入可执行程序内如
exe)
并与计算机的通口TCP端口
)挂钩
监控计算机的信息
密码
甚至是键盘操作
作为回传的信息
并不时驱动端口
以等候传进的命令
由于该木马不能判别何者是正确的端口
所以负责输出的列表机也是其驱动对象
以致Spoolsvexe的使用异常频繁BackdoorWin
Plutor破坏方法
感染PE文件的后门程序病毒采用VC编写
病毒运行后有以下行为
将病毒文件复制到%WINDIR%目录下
文件名为\"
Spoolsvexe\"
并该病毒文件运行
\"
Spoolsvexe\"
文件运行后释放文件名为\"
mscheckexe\"
的文件到%SYSDIR%目录ghostxp 2015元宵下
该文件的主要功能是每次激活时运行\"
Spoolsvexe\"
文件
如果所运行的文件是感染了正常文件的病毒文件
病毒将会把该文件恢复并将其运行
修改注册表以下键值
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run增加数据项
\"
MicrosoftScriptChecker\"
数据为
\"
MSCHECKEXESTART\"
修改该项注册表使\"
MSCHECKEXE\"
文件每次系统激活时都将被运行
而\"
MSCHECKEXE\"
用于运行\"
Spoolsvexe\"
文件
从而达到病毒自激活的目的
创建一个线程用于感染C盘下的PE文件
但是文件路径中包含\"
winnt\"
\"
Windows\"
字符串的文件不感染
另外
该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染
该病毒感染文件方法比较简单
将正常文件的前
x
个字节替换为病毒文件中的数据
并将原来
x
个字节的数据插入所感染的文件尾部
试图与局域网内名为\"
admin\"
的邮槽