荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (要开始努力啦), 信区: Virus
标 题: Backdoor.Trojan
发信站: 荔园晨风BBS站 (Tue Dec 11 13:34:02 2001), 站内信件
病毒名称:SubSeven 2.0 Server
别名:Backdoor.Trojan, Pinkworm
发作时间:无
长度:336,867字节
感染症状:无
发作症状:无
病毒类型:黑客程序
操作平台:Windows 9x
感染对象:无
病毒性质:无
病毒介绍:
该木马首先在日本被发现,一封附件为"server.exe"的电子邮件在日本蔓延,
该附件声称本身是一个可以清除Pink-
wrom病毒的反病毒软件,但实际上是一个名为SubSeven 2.0 Server的木马。该电
子邮件是来自一个日本的Hotmail账号,
并声称来自微软在日本的服务器。该电子邮件要求收到邮件的人运行附件中的
"server.exe"以保护计算机免受Pinkworm
病毒的侵袭,但实际上根本没有Pinkworm病毒。
该程序是SubSeven木马的2.0版本,可以参阅Backdoor.G资料。该程序起服务
器程序的作用,它允许远程控制者操纵
你的计算机和获取你计算机上的资料,提供了查找、获取、 发送文件,窃取密码
,改变颜色、设定,放音设备音量,改
变日期和时间等功能。
当该木马首次运行时,便会把自己安装到Windows目录下,并任意起一个文件
名,默认的文件名为KERNE1.EXE,这个
文件名是可以修改的。该木马在安装的过程中会显示一些欺骗性的信息,而这些信
息同样也可以修改的, 默认的信息如
下:
Error Out of system resources. (译:错误,系统资源不足)
一旦该木马被安装后,client端(控制端)便会由事先定义的端口进入sever
端(被控端)。此外,这个端口也可以
被修改的。远程控制者可以知晓被控端机器上的任何信息, 被控端可以通过ICQ、
IRC或者电子邮件来发送信息。
该木马的默认长度为336,867字节,但可以被其他程序所限制。
该木马随Windows一起启动。该木马会自动修改注册表、 WIN.INI和SYSTEM.
INI以确保该木马的运行。一旦该木马在
Windows目录下建立一个名为run.exe的文件,便会修改注册表以运行run.exe启动
被控端。
清除方法:在注册表里寻找run.exe,如果有便删除,例
如:
修改前:@=run.exe \?1\?%*?
修改后:@=\?1\?%*?
这个run.exe文件也必须删除。
--
│
◎┌───────────────────────────────┼──
│ 匆匆的大学生活 匆匆的聚会 还有匆匆的歌声 │
│ 朋友你可曾记得 我们曾经的那段快乐的时光和彼此的约定 │
──┼───────────────────────────────┴──
│
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店