|
bìng dú biāo qiān Virus tags |
bìng dú míng chēng: Backdoor.Win32.Small.oo
bìng dú lèi xíng: hòu mén
wén jiàn MD5: 439F062FCAFC7F6E1EA2ACA83C9E960A
gōng kāi fàn wéi: wán quán gōng kāi
wēi hài děng jí: 4
wén jiàn cháng dù: 15,872 zì jié
gǎn rǎn xì tǒng: Windows98 yǐ shàng bǎn běn
kāi fā gōng jù: MicrosoftVisualC++6.0 |
bìng dú miáo shù Virus Description |
| gāi bìng dú wéi jiāng shī lèi hòu mén, bìng dú yùn xíng hòu huò qǔ wén jiàn biāo tí hòu kǎo bèi bìng dú zì shēn dào %System32% mù lù xià( bìng dú míng bù biàn), diào yòng API hán shù chuàng jiàn bìng dú fú wù bìng xiě rù zhù cè biǎo, chuàng jiàn bìng dú jìn chéng, huò qǔ huán jìng biàn liàng dé dào bìng dú lù jìng, shǐ yòng CMD mìng lìng jiāng bìng dú zì shēn shān chú, lián jiē dào zhǐ dìng de IP dì zhǐ děng dài jiē shōu kòng zhì zhě fā sòng de kòng zhì zhǐ lìng, shòu gǎn rǎn yòng hù kě néng huì bèi cāo zòng jìn xíng Ddos gōng jī、 yuǎn chéng kòng zhì、 fā sòng lā jī yóu jiàn、 chuàng jiàn běn dì Tftp、 xià zài bìng dú wén jiàn děng xíng wéi, yán zhòng de huì zào chéng wǎng luò tān huàn。 |
xíng wéi fēn xī Behavior Analysis |
běn dì xíng wéi
1、 wén jiàn yùn xíng hòu huì shì fàng yǐ xià wén jiàn
%System32% yuán bìng dú wén jiàn míng .exe15,872 zì jié
2、 chuàng jiàn zhù cè biǎo bìng dú fú wù xiàng
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
zhù cè biǎo zhí :"Description"
lèi xíng: REG_SZ"
zhí: zì chuàn: "NetworkConnectionsManagement"
miáo shù : bìng dú fú wù miáo shù
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
zhù cè biǎo zhí :"DisplayName"
lèi xíng: REG_SZ
zhí: zì fú chuàn :"WindowsAccountsDriver"
miáo shù : bìng dú fú wù míng
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
zhù cè biǎo zhí :"ImagePath"
lèi xíng: REG_SZ
zhí: zì fú chuàn :"C:WINDOWSSystem32 yuán bìng dú wén jiàn míng .exe."
miáo shù : fú wù yìng xiàng wén jiàn de qǐ dòng lù jìng
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
zhù cè biǎo zhí :"Start"
lèi xíng: REG_SZ
zhí: "DWORD:2(0x2)"
miáo shù : fú wù de qǐ dòng fāng shì, shǒu dòng
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWindowsRemote]
zhù cè biǎo zhí :"Type"
lèi xíng: REG_SZ
zhí: "DWORD:16(0x10)"
miáo shù : fú wù lèi xíng
3、 huò qǔ huán jìng biàn liàng dé dào bìng dú lù jìng, shǐ yòng CMD mìng lìng jiāng bìng dú zì shēn shān chú, lián jiē dào zhǐ dìng de IP dì zhǐ: 121.15.247.** děng dài jiē shōu kòng zhì zhě fā sòng de kòng zhì zhǐ lìng。
wǎng luò xíng wéi
xié yì: TCP
duān kǒu: 1801
IP dì zhǐ: 121.15.247.**
miáo shù: lián jiē dào gāi IP dì zhǐ děng dài jiē shōu bìng dú zuò zhě fā sòng de kòng zhì zhǐ lìng
zhù: %System32% shì yī gè kě biàn lù jìng。 bìng dú tōng guò chá xún cāo zuò xì tǒng lái jué dìng dāng qián System wén jiàn jiā de wèi zhì。
%Windir%WINDODWS suǒ zài mù lù
%DriveLetter% luó ji qū dòng qì gēn mù lù
%ProgramFiles% xì tǒng chéng xù mò rèn 'ān zhuāng mù lù
%HomeDrive% dāng qián qǐ dòng de xì tǒng de suǒ zài fēn qū
%DocumentsandSettings% dāng qián yòng hù wén dàng gēn mù lù
%Temp%DocumentsandSettings
dāng qián yòng hù LocalSettingsTemp
%System32% xì tǒng de System32 wén jiàn jiā
Windows2000/NT zhōng mò rèn de 'ān zhuāng lù jìng shì C:WinntSystem32
windows95/98/me zhōng mò rèn de 'ān zhuāng lù jìng shì C:WindowsSystem
windowsXP zhōng mò rèn de 'ān zhuāng lù jìng shì C:WindowsSystem32 |
qīng chú fāng 'àn Clear solution |
1、 shǐ yòng 'ān tiān fáng xiàn kě chè dǐ qīng chú cǐ bìng dú ( tuī jiàn )。
2、 shǒu gōng qīng chú qǐng 'àn zhào xíng wéi fēn xī shān chú duì yìng wén jiàn, huī fù xiāng guān xì tǒng shè zhì。
( 1) shǐ yòng ATOOL jìn chéng guǎn lǐ jié shù yuán bìng dú wén jiàn míng .exe jìn chéng。
( 2) qiáng xíng shān chú bìng dú wén jiàn
%System32% yuán bìng dú wén jiàn míng .exe
( 3) shān chú bìng dú fú wù zhù cè biǎo xiàng
[HKEY_LOCAL_MACHINESYSTEMControlSet001Services]
zhù cè biǎo zhí :"WindowsRemote"
shān chú WindowsRemote jiàn xià suǒ yòu de jiàn zhí |