Troj/Tompai-B
Backdoor.Trojan cmpku.exe cmpkunt.exe
近来计算机莫明奇妙的现象。还有些奇怪的进程。查了资料后才知道是中毒了。哎。。。在显示所有文件和显示后缀名的时候。刷新后又变回去了,,
This section is for technical experts who want to know more.
Troj/Tompai-B is a backdoor Trojan for the Windows platform.
When first run Troj/Tompai-B copies itself to mapserver.exe in the Windows folder and creates three copies of itself in the <system> folder. One of these copies will be called mainsv.exe and the others are chosen randomly from the following pairs of names:
cmpku.exe and cmpkunt.exe
netcompt.exe and netcomptnt.exe
ptsnopt.exe and ptsnoptnt.exe
ntdllf.exe and ntdllfnt.exe
The following registry entries are created to run the copies of the Trojan.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ntcheck
<Windows>\mapserver.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cmpnt
<System>\<random name>.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
Cmpnt
<System>\mainsv.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Shell
<System>\mainsv.exe
Troj/Tompai-B changes settings for Microsoft Internet Explorer by modifying values under:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
The Trojan also changes the following registry values:
显示所有文件和显示后缀名:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden
0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt
0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden
0x00000000
Troj/Tompai-B will open a backdoor on the infected system and report the infection by contacting a predefined URL and via email.
Troj/Tompai-B gives the following options to a remote user:
Access folder.
Access parent folder.
Change attribute of file/folder.
Change drive.
Delete any file.
Execute any file.
Force PC to Shut Down.
Get IP WAN.
Get the date/time of the server.
Get the list of commands supported by the server
Get the list of the directories.
Get the list of the files.
Logoff PC.
Logout from the server.
Reboot the PC.
Show the User.
分享到:
相关推荐
生产使用的Linux.BackDoor.Gates.5木马处理文档!
Backdoor.Win32.Delf.aws 病毒样本。
【标题】:Delphi编写的Backdoor.Metarage恶意后门程序详解 【描述】:Backdoor.Metarage是一种由Delphi编程语言编写的恶意后门软件,它主要针对Windows操作系统,允许攻击者远程控制受感染的系统,执行各种非法...
重新启动,打开工具直接绿色运行,本工具是经过在xp系统上测试过的,没有问题,win7还没有测试
【病毒名称】:Backdoor.Win32.Hupigon.dsx 【病毒类型】:后门 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 病毒运行后,首先修改该系统时间,致使一些杀软安软因系统时间不符...
大马文件
ASP.NET源码——ASP.NET Web BackDoor.zip
ident_backdoor
account_backdoor
mod_rootme_backdoor
6. Backdoor.Autoupder - Absr.exe Backdoor.Autoupder是一种木马,可以远程控制计算机,用于盗取用户敏感信息。 7. 尼姆达病毒 - Mmc.exe 尼姆达病毒是一种病毒,可以感染计算机系统,使其出现异常行为。 8. 将...
将修改后的 backdoor.java 编译为 ./tmp/backdoor.class 重新压缩 ./tmp/* 到 outfile.jar (默认是 backdoor.jar) 如果后门是一个持久性函数(例如侦听套接字的外壳程序),请确保将其分离到它自己的线程中,否则...
增加可查杀病毒数为44 新增将系统时间修改为1980的病毒的查杀 <br/>增加10个新U盘病毒的查杀,其中包括:real.exe Worm.VB.acr,autorun.pif Backdoor.RWX.2005.gy,rising.exe Trojan.DL.Mnless.hr,servet.exe ...
backdoor_for_windows ... 使用Windows机器(已安装python)并使用pyinstaller“ pyinstaller backdoor.py --onefile --noconsole”从backdoor.py中创建.exe文件。 .server.py必须在Linux“ python3 server.py”上工作
12. **absr.exe**:这是一个恶意进程,与backdoor.autoupder病毒相关,应当立即删除并修复系统。 13. **acrobat.exe** 和 **acrord32.exe**:这两个进程属于Adobe Acrobat,分别用于创建PDF文档和阅读PDF文档。 14...
12. **absr.exe**:这个进程与Backdoor.Autoupder病毒有关,是一种恶意软件,应被安全软件检测并移除。 13. **acrobat.exe**和**acrord32.exe**:分别属于Adobe Acrobat Writer和Acrobat Reader,用于创建和查看PDF...
#History这是PHP脚本后门的列表,允许攻击者破坏网站并获得对数据库和敏感目录的完整访问权,基本上是PHP Backdoor Web应用程序Trojan,它可以完全入侵任何网站并获得完整的数据库。 #仅用于教育目的。
backdoor-pyc, 带代码的修补程序文件 相当 lame 后门沉淀物用恶意代码文件替换pmbus文件。更改日志#### 11/10/2015不再向tmp写入,直接编辑pyc文件Bug 修复以前的工作https://www.virusbtn.com/virusbulletin
仅用于教育和/或测试目的。 笔记 不一定包含您可以在反找到的后门的反混淆的版本。 要对这些技巧和其他技巧进行模糊处理,请查看“ 部分。 始终在安全的环境中调查恶意软件。 这意味着:与您的网络分开并在虚拟机...