|
该病毒主动连接到Internet Relay Chat(IRC)服务器并打开一个后门端口:TCP10888或1080 病毒类型:特洛伊木马 该病毒发作时: 1,尝试创建一个与名为3286E64A-W325-121E-BFC6-083C2BE2S511互斥的实例,以确保其能正常运行。 2,将自身拷贝为%System%\Lassa.exe 3,在如下注册表项中: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 添加如下键值: ".mscdr"="%System%\lassa.exe" 4,打开后门端口TCP 10888或1080并等待入站连接。它可以使攻击者使用当前这台受感染的计算机作为代理服务器连接到另外一台主机。 5,连接到预定的IRC服务器TCP 8080端口并等待攻击者发送命令。 清除方法: 进入安全模式。 按下Ctrl+Alt+Del组合键打开“任务管理器”(适用于Windows NT/2000/XP),找到Lassa.exe进程,右键单击它,选择“结束进程”,然后关闭“任务管理器”。 进入系统文件夹,默认情况下该文件夹:Windows 95/98/Me为C:\Windows\System文件夹,Windows NT/2000为C:\Winnt\system32,Windows XP为C:\Windows\system32,找到并永久删除Lassa.exe文件 点击开始-->运行,输入 regedit 按回车进入注册表编辑器 找到如下注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除如下键值 ".mscdr"="%System%\lassa.exe" 重新启动计算机。 |
|