Win32.Troj.OnlineGames.bk.264704

病毒名称(中文):病毒别名:威胁级别:★☆☆☆☆病毒类型:木马程序病毒长度:264704影响系统:Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:

这是一个木马程序，它会读取用户系统的一些配置信息，并制造后门，连接病毒作者指定的远程服务器，等待黑客连接。

在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\System64.exe
C:\WINDOWS\SYSTEM32\System64.dll

在注册表中创建了以下信息:
"HKLM\System\CurrentControlSet\Services\DarkstSer"
"HKLM\System\CurrentControlSet\Services\DarkstSer\Enum"
"HKLM\System\CurrentControlSet\Services\DarkstSer\Parameters"

在注册表中设置了以下信息:
"HKLM\System\CurrentControlSet\Services\DarkstSer""I"""
"HKLM\System\CurrentControlSet\Services\DarkstSer""DisplayName""DarkstRat"
"HKLM\System\CurrentControlSet\Services\DarkstSer""DependOnGroup"""
"HKLM\System\CurrentControlSet\Services\DarkstSer""DependOnService""RpcSs"
"HKLM\System\CurrentControlSet\Services\DarkstSer\Enum""0""Root\LEGACY_DarkstSer\0000"
"HKLM\System\CurrentControlSet\Services\DarkstSer\Parameters""ServiceDll""C:\WINDOWS\SYSTEM32\System64.dll"

会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
"HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost"
"HKLM\SYSTEM\CurrentControlSet\Services\DarkstSer"

在系统中创建了以下进程:
"sample.exe"
"svchost.exe"
"SYSTEM64.EXE"

在系统中创建了以下服务:
服务名:"DarkstSer(DarkstRat)"
映像路径:"%SystemRoot%\system32\svchost.exe-knetservice"