网络社会征信网

 Backdoor.Kivars 

 警惕程度★★★

 影响平台：Win 9X/ME/NT/2000/XP/Server 2003等

 病毒执行体描述：

 Backdoor.Kivars是一个木马，它在受感染计算机上打开一个后门。木马将自己伪装成一个word文档。木马执行时，创建下列文件：

 %System%\iprips.dll

 %System%\winbs2.dll

 %System%\klog.dat

 %Temp%\NO9907HFEXE.doc

 然后，创建以下属性的服务：

 Display Name: RIP Listening

 Startup Type: Automatic

 创建以下注册表子项登记以上服务:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip

 木马还创建下列注册表项：

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\"Type" = "120"

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\"ErrorControl" = "1"

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters\"ServiceDll" = "%System%\iprips.dll"

 木马会从受感染计算机收集以下信息：主机名、IP地址、用户名、恶意软件版本、当前进程ID、硬盘卷序列号、最近浏览的目录、桌面目录路径、我的文档目录路径、操作系统默认语言环境、键盘布局

 木马将上述信息发送到以下远程地址：

 gsndomain.ddns.us

 markettaiwan.serveuser.com

 木马在受感染计算机上打开一个后门，允许攻击者执行以下操作：

 模拟键盘输入、模拟鼠标点击、获取显示器设置、结束进程、改变窗口的文本、显示和隐藏窗口、发送消息、删除和重命名文件、执行文件、删除文件和文件夹、创建文件夹、读取文件、下载和上传文件、截图、枚举文件、列出可用的驱动器、击键记录、从受感染计算机删除木马

 预防和清除：

 不要点击不明网站、打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。