|
|
病毒名稱: Backdoor.Win32.Small.oo
病毒類型: 後門
文件 MD5: 439F062FCAFC7F6E1EA2ACA83C9E960A
公開範圍: 完全公開
危害等級: 4
文件長度: 15,872 字節
感染係統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0 |
|
| 該病毒為僵屍類後門,病毒運行後獲取文件標題後拷貝病毒自身到%System32%目錄下(病毒名不變),調用API函數創建病毒服務並寫入註册表,創建病毒進程,獲取環境變量得到病毒路徑,使用CMD命令將病毒自身刪除,連接到指定的IP地址等待接收控製者發送的控製指令,受感染用戶可能會被操縱進行Ddos攻擊、遠程控製、發送垃圾郵件、創建本地Tftp、下載病毒文件等行為,嚴重的會造成網絡癱瘓。 |
|
本地行為
1、文件運行後會釋放以下文件
%System32%原病毒文件名.exe 15,872 字節
2、創建註册表病毒服務項
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
註册表值: "Description"
類型: REG_SZ"
值:字串:"Network Connections Management"
描述: 病毒服務描述
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
註册表值: "DisplayName"
類型: REG_SZ
值:字符串: "Windows Accounts Driver"
描述: 病毒服務名
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
註册表值: "ImagePath"
類型: REG_SZ
值:字符串: "C:WINDOWSSystem32原病毒文件名.exe."
描述: 服務映像文件的啓動路徑
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
註册表值: "Start"
類型: REG_SZ
值:"DWORD: 2 (0x2)"
描述: 服務的啓動方式,手動
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
註册表值: "Type"
類型: REG_SZ
值:"DWORD: 16 (0x10)"
描述: 服務類型
3、獲取環境變量得到病毒路徑,使用CMD命令將病毒自身刪除,連接到指定的IP地址:121.15.247.**等待接收控製者發送的控製指令。
網絡行為
協議:TCP
端口:1801
IP地址:121.15.247.**
描述:連接到該IP地址等待接收病毒作者發送的控製指令
註:%System32%是一個可變路徑。病毒通過查詢操作係統來决定當前System文件夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 係統程序默認安裝目錄
%HomeDrive% 當前啓動的係統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% Documents and Settings
當前用戶Local SettingsTemp
%System32% 係統的 System32文件夾
Windows2000/NT中默認的安裝路徑是C:WinntSystem32
windows95/98/me中默認的安裝路徑是C:WindowsSystem
windowsXP中默認的安裝路徑是C:WindowsSystem32 |
|
1、使用安天防綫可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應文件,恢復相關係統設置。
(1) 使用ATOOL進程管理結束原病毒文件名.exe進程。
(2) 強行刪除病毒文件
%System32%原病毒文件名.exe
(3) 刪除病毒服務註册表項
[HKEY_LOCAL_MACHINESYSTEMControlSet001Services]
註册表值: "WindowsRemote"
刪除WindowsRemote鍵下所有的鍵值 |