发布日期:2014-07-23 14:39:25
Backdoor.Kivars
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003等
病毒执行体描述:
Backdoor.Kivars是一个木马,它在受感染计算机上打开一个后门。木马将自己伪装成一个word文档。木马执行时,创建下列文件:
%System%\iprips.dll
%System%\winbs2.dll
%System%\klog.dat
%Temp%\NO9907HFEXE.doc
然后,创建以下属性的服务:
Display Name: RIP Listening
Startup Type: Automatic
创建以下注册表子项登记以上服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip
木马还创建下列注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\"Type" = "120"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip\Parameters\"ServiceDll" = "%System%\iprips.dll"
木马会从受感染计算机收集以下信息:主机名、IP地址、用户名、恶意软件版本、当前进程ID、硬盘卷序列号、最近浏览的目录、桌面目录路径、我的文档目录路径、操作系统默认语言环境、键盘布局
木马将上述信息发送到以下远程地址:
gsndomain.ddns.us
markettaiwan.serveuser.com
木马在受感染计算机上打开一个后门,允许攻击者执行以下操作:
模拟键盘输入、模拟鼠标点击、获取显示器设置、结束进程、改变窗口的文本、显示和隐藏窗口、发送消息、删除和重命名文件、执行文件、删除文件和文件夹、创建文件夹、读取文件、下载和上传文件、截图、枚举文件、列出可用的驱动器、击键记录、从受感染计算机删除木马
预防和清除:
不要点击不明网站、打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。