频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

Trojan.IRCbot.ch

来源:QQread收集 作者: 出处:巧巧读书 2006-03-05 进入讨论组
病毒分类   WINDOWS下的PE病毒 病毒名称   Trojan.IRCbot.ch  
别    名      病毒长度    
依赖系统    传播途径     
行为类型   WINDOWS下的木马程序 感    染     
病毒发作    

IRC木马

一、系统中的病毒文件
%SYSTEM%\taskmanager.exe

二、被病毒添加的自启动项

1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Microsoft Office 11 Windows-32bit" : TASKMANAGER.EXE

2 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"Microsoft Office 11 Windows-32bit" : TASKMANAGER.EXE

3 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"Microsoft Office 11 Windows-32bit" : TASKMANAGER.EXE

三、病毒驻留内存,试探连接mIRC服务器“tehsux.myftp.biz”

四、试图通过猜测IPC连接口令进行网络传播。病毒自身带有一个庞大的字典,猜测连接密码。
如果连接成功,病毒会增加新的账户
net user /add tehsux kthxnet

同时试图把自身拷贝到下列路径

%s\IPC$\taskmanager.exe
%s\D$\taskmanager.exe
%s\print$\taskmanager.exe
%s\c$\taskmanager.exe
%s\Admin$\taskmanager.exe
%s\c$\windows\system32\taskmanager.exe
%s\c$\winnt\system32\taskmanager.exe
%s\Admin$\system32\taskmanager.exe
%s\ipc$

%s 是指远程机器的ip地址

五、病毒偷用户若干正版游戏的序列号。

备    注


请保留地址 http://www.qqread.com/virusdb/m992747207.html进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
收藏此文】【 】【打印】【关闭
较早的文章:Worm.Agobot.3.jv

较新的文章:Trojan.IRCbot.ci
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章