WEB开发网
开发学院网络安全病毒数据库 Win32.Erone.a.5120 阅读

Win32.Erone.a.5120

 2008-08-11 20:26:15 来源:WEB开发网   
核心提示:病毒名称(中文):局域网监视器5120病毒别名:威胁级别:★★☆☆☆病毒类型:木马程序病毒长度:5120影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个感染型的后门程序,它会扫描本地磁盘的文件进行感染,Win32.Erone.a.5120,同时会枚举局域网内资源,通过感染
病毒名称(中文): 局域网监视器5120
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 木马程序
病毒长度: 5120
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个感染型的后门程序。它会扫描本地磁盘的文件进行感染,同时会枚举局域网内资源,通过感染局域网内共享文件进行传播。它会打开端口监听,在后台执行黑客命令。

1.会把自身拷贝到系统目录中,C:\windows\system32\drone.exe。

2.注册为服务启动,服务名为drone。

3.开启一个线程,循环从C:\到Z:\盘查找文件,假如是目录,则判定是否是windows,winnt,PRogamfiles这几个目录,如是则跳过这几个目录,否则对找到的目录再进行递归查找。假如是文件则判定是否是PE文件,主要感染.exe,.ocx,.scr文件,并排除一些文件,感染通过在文件尾新建块和构造块表,并修改OEP来完成。

4.程序不停的枚举局域网内的资源,假如是计算机则递归查找,是文件就继续感染,从而在局域网内进行传播。

5.程序打开一个线程在30467端口上监听,通过后台开启cmd执行命令,从而较隐蔽。







Tags:Win Erone

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接