|
|
|
病毒名称:SubSeven 2.0 Server
别名:Backdoor.Trojan, Pinkworm
发作时间:无
长度:336,867字节
感染症状:无
发作症状:无
病毒类型:黑客程序
操作平台:Windows 9x
感染对象:无
病毒性质:无
病毒介绍:
该木马首先在日本被发现,一封附件为"server.exe"的电子邮件在日本蔓延,该附件声称本身是一个可以清除Pink-
wrom病毒的反病毒软件,但实际上是一个名为SubSeven 2.0 Server的木马。该电子邮件是来自一个日本的Hotmail账号,
并声称来自微软在日本的服务器。该电子邮件要求收到邮件的人运行附件中的"server.exe"以保护计算机免受Pinkworm
病毒的侵袭,但实际上根本没有Pinkworm病毒。
该程序是SubSeven木马的2.0版本,可以参阅Backdoor.G资料。该程序起服务器程序的作用,它允许远程控制者操纵
你的计算机和获取你计算机上的资料,提供了查找、获取、 发送文件,窃取密码,改变颜色、设定,放音设备音量,改
变日期和时间等功能。
当该木马首次运行时,便会把自己安装到Windows目录下,并任意起一个文件名,默认的文件名为KERNE1.EXE,这个
文件名是可以修改的。该木马在安装的过程中会显示一些欺骗性的信息,而这些信息同样也可以修改的, 默认的信息如
下:
Error Out of system resources. (译:错误,系统资源不足)
一旦该木马被安装后,client端(控制端)便会由事先定义的端口进入sever端(被控端)。此外,这个端口也可以
被修改的。远程控制者可以知晓被控端机器上的任何信息, 被控端可以通过ICQ、IRC或者电子邮件来发送信息。
该木马的默认长度为336,867字节,但可以被其他程序所限制。
该木马随Windows一起启动。该木马会自动修改注册表、 WIN.INI和SYSTEM.INI以确保该木马的运行。一旦该木马在
Windows目录下建立一个名为run.exe的文件,便会修改注册表以运行run.exe启动被控端。
清除方法:在注册表里寻找run.exe,如果有便删除,例
如:
修改前:@=run.exe \?1\?%*?
修改后:@=\?1\?%*?
这个run.exe文件也必须删除。
|
|
|手机版|Archiver|室内人
( 辽ICP备05022379号 )
雷达卡
发表于 2003-8-3 16:17:00
提升卡
置顶卡
千斤顶