病毒描述:
该病毒具有后门、蠕虫的性质,病毒尝试枚举弱口令并复制原病毒副本到其它的主机中。感染该病毒后,病毒会连接到某IRC地址,等待并接受恶意者的控制,如:删除、下载、上传、执行任意文件等,病毒还会修改注册表文件,达到随系统启动的目的,该病毒对用户有一定的危害。
行为分析:
1、复制原病毒副本到:
%winnt%\winlogon.exe
%Documents and Settings\Administrator
\Local Settings%\temp\%<random>.tmp(4个随机字符)
2、修改注册表文件,达到随系统启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ICQ Net
键值: 字串: "C:\WINNT\winlogon.exe -stealth"
3、连接到某IRC,等待恶意者的连接,并接受恶意操作,如:删除、下载、上传、执行任意文件等。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
