冒名者病毒

病毒名稱：冒名者（Backdoor/VB.Sfcdis）

病毒類型：後門

病毒大小：73728位元組

傳播方式：網路

危害程度：★★

2005年1月25日，江民反病毒中心截獲一個由VB語言編寫的後門病毒Backdoor/VB.Sfcdis。還會收集用戶系統信息向某網站提交，並能夠根據遠程黑客命令，在用戶機器上進行檔案複製刪除、截取螢幕畫面、傳送訊息等操作。

病毒具體技術特徵如下：

1.運行後顯示如下對話框：

2.創建下列檔案：

c:\recycled.exe, 73728位元組，隱藏屬性檔案，病毒本身

c:\autorun.inf, 44位元組，隱藏屬性檔案，自動播放配置檔案，指向病毒程式。

這樣，用戶每次雙擊c:驅動器盤符，都會激活病毒程式。

3.添加或修改下列註冊表鍵值：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue" = 00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"SFCDisable" = 00000001

這樣，使用Windows資源管理器瀏覽檔案時將不會顯示隱藏檔案，在系統檔案被破壞時，Windows 2000/XP/2003也不會發出警告。

4. 嘗試用自身替換系統檔案%SystemDir%\Rundll32.exe。一旦替換成功，每次Rundll32.exe被調用時都會激活病毒程式。正常的Rundll32.exe被完全破壞，只能通過備份恢復。

5. 收集用戶系統的進程列表、機器名、驅動器等信息，向網頁腳本http://virtu****st.w**plus.com.cn/v**rl/v.asp提交。

6. 根據黑客命令，可以在用戶本地系統進行下列操作：

檔案複製、移動、刪除、改變屬性；

資料夾複製、移動、刪除、新建；

運行程式；

彈出訊息對話框，包含字元串“從 xfastx 到……的訊息”；

抓取用戶螢幕畫面