Win32.Troj.Wisdoor.h

病毒行為:

編寫工具:

傳染條件:

發作條件:

系統修改:

A、將自己複製為系統目錄如下檔案並且執行(C:Windows 或 C:Winnt)：

%Windir%SYSCFGEXE

B、在註冊表主鍵：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

添加以下鍵值

"SYSCFG16"="%System%dcemgr.exe"

:

首先判斷進程的名字是否dcemgr.exe,不是的則複製到系統目錄下並且運行，是則執行：

A、在連線埠6667連線到特定的IRC伺服器(203.105.1.21/2221.188.182/65.160.219.113/128.121.126.139)。

B、在TCP連線埠559打開後門,並允許黑客未經授權遠程訪問感染的計算機,監聽黑客發來的命令。

C、攻擊者可以對感染該病毒的用戶計算機作如下操作：

上傳下載檔案

執行程式

列舉檔案

列舉進程和模組

結束進程

攝取螢幕信息圖像並傳送給攻擊者

記錄鍵擊

截取用戶系統信息

添加管理員賬號。

記錄鍵盤按鍵

特別說明: