RED CODE II中木马文件分析

简介:
-----------
命名: Trojan.VirtualRoot
类型: Trojan,用汇编语言编写的
大小: N/A
危险: 低


介绍:
-----------------
Trojan.VirtualRoot,只运行在Windows NT/2000下，当它被执行的时候（不加参数），它会打开WINDOWS Explorer。 这样做相比执行后什么都不出现，就会大大减少被怀疑的可能。

在运行之后它改写下列注册表键值：

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable 0xFFFFFF9D

在 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots 中改变键值/Scripts 和 /MSDAC
在这两键值的逗号后面加上?12?，而且还会再添加两个键/C 和/D。使系统的C盘和D盘 处于WEB共享状态。

当这些虚拟目录创建完毕，它会转入休眠，10分钟后，重新设置一遍注册表。这样循环下去，直到关机。

实际上这个木马很大程度上的破坏了系统的安全性。当它在被运行的时候，任何试图攻击而且发现了这样后门的人都可以对这个服务器做任何事情。

这个木马包含于最近在国内泛滥的的蠕虫病毒 RED CODE II中。作为RED CODE II的一部分，它和RED CODE II一起出现在各个被感染的机器上，这时被感染的机器便毫无安全性可言。