进程文件:spoolsv或spoolsv.exe
进程名称:打印机后台程序服务
描述:Windows打印任务控制程序用于打印机准备好。 U3000
简介:该服务是打印和传真工作在缓冲池的管理。
spoolsv.exerarr;打印任务控制程序通常会在列表机打印,所以Spoolsv.exe,如果常增高装的,可能是由病毒感染引起的。
目前,最常见的事情是:
后门/ byshell(又称隐形的强盗,隐形杀手,西门青病毒)
危害程度:中
受影响的系统:Windows 2000,Windows XP,Windows Server 2003
病毒的危害:
1。生成病毒文件
2。插入到正常系统文件中
三.修改系统注册表
4。可以由黑客控制
5。躲避杀毒软件
简单的后门木马程序会删除自己的攻击程序,但他们的程序设置在可执行程序中(如EXE),并与计算机端口(TCP端口138)挂钩,监控计算机信息、密码,甚至键盘操作,作为反馈信息,并不时地等待驱动端口。为了让木马无法辨别正确的端口列表是什么,所以输出的驱动对象的机器,使spoolsv.exe使用异常频繁......
backdoor.win32.plutor
破坏方法:后门程序,感染PE文件的病毒是用VC写的。 U3000
病毒操作后,有以下动作:
1,复制病毒文件到%windir%目录下,文件名为;spoolsv .exe;和病毒文件运行。spoolsv .exe;文件后运行,它会释放文件名为mscheck .exe文件的主要功能是;运行spoolsv .exe,当它被激活为sysdir %目录。如果该文件是一个病毒文件,感染正常文件,病毒就会恢复文件并运行它。
2,修改注册表下面的键值:
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun
添加数据项:;微软脚本检查器;数据是:;mscheck.exe /启动;
修改注册表使mscheck .exe文件将运行;每次系统被激活,和mscheck .exe;运行spoolsv .exe
3、PE文件下创建感染C线,但是文件路径中包含;和winnt;;窗;字符串的文件未被感染。此外,该病毒还列举了在局域网的共享目录下的文件并试图感染这些病毒感染的文件的目录。方法比较简单,将正常文件的第一0x16000字节为病毒文件的数据,并在被感染文件的尾部插入原0x16000字节数据。
4,尝试连接局域网中名为admin的邮件槽,创建名为客户机的邮件槽
显示或隐藏指定窗口、屏幕截取、控制光驱、关闭计算机、注销、破坏硬盘数据。
