norton_symantec
2009-04-28, 09:44 AM
作者:賽門鐵克中國安全回應中心
病毒名稱:Trojan.Neprodoor
病毒類型:特洛伊木馬
受影響的作業系統:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
Trojan.Neprodoor木馬在使用者不知情時開啟後門,在電腦埋下安全漏洞。Trojan.Neprodoor木馬將自身拷貝到System32目錄下,並添加註冊表鍵值,以達到開機便能夠自動啟動的目的。木馬會感染系統驅動檔ndis.sys,且感染方法十分“聰明”— 它不僅保證被修改的驅動檔ndis.sys不會遺失其原有的功能,令使用者很難察覺系統的運行有任何異常;同時,它會悄悄地將後門程式碼注入到services.exe進程中,並創建互斥量來確保只有一個木馬實例在運行。
被感染的電腦會嘗試通過80埠同一批指定的IP位址建立TCP連接。一旦連接成功,木馬可能會接受遠端服務端的指令盜取使用者隱私資訊,下載並運行惡意程式碼,或做TCP代理。
贊助商連結
病毒名稱:Trojan.Neprodoor
病毒類型:特洛伊木馬
受影響的作業系統:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
Trojan.Neprodoor木馬在使用者不知情時開啟後門,在電腦埋下安全漏洞。Trojan.Neprodoor木馬將自身拷貝到System32目錄下,並添加註冊表鍵值,以達到開機便能夠自動啟動的目的。木馬會感染系統驅動檔ndis.sys,且感染方法十分“聰明”— 它不僅保證被修改的驅動檔ndis.sys不會遺失其原有的功能,令使用者很難察覺系統的運行有任何異常;同時,它會悄悄地將後門程式碼注入到services.exe進程中,並創建互斥量來確保只有一個木馬實例在運行。
被感染的電腦會嘗試通過80埠同一批指定的IP位址建立TCP連接。一旦連接成功,木馬可能會接受遠端服務端的指令盜取使用者隱私資訊,下載並運行惡意程式碼,或做TCP代理。
贊助商連結