[转帖]警惕后门病毒Backdoor.win32.Small.cz

转帖:警惕后门病毒Backdoor.win32.Small.cz
来自安天实验室：
http://www.antiy.com/index.htm
病毒标签：
病毒名称： Backdoor.win32.Small.cz
病毒类型： 后门
文件 MD5： 3B5269DB5F8ED8A3F14A20A55EED436F
公开范围： 完全公开
危害等级： 中
文件长度： 2,560 字节
感染系统： Windows 98及以上版本
开发工具： Microsoft Visual C++ 6.0
命名对照： Symentec[Backdoor.Trojan]
　　　　　 Macfee[无]
病毒描述：
　 该病毒属后门类，病毒运行后会复制原病毒到系统目录下，修改注册表文件，达到随系统启动的目的。病毒还具有IRC信道功能，感染主机会尝试连接到***.nl.eu.undernet.org 的6667端口，等待恶意操作。远程恶意用户还可以下载任意文件到感染主机，下载的文件会被保存为"z31.exe" 该病毒对用户有一定的危害。
行为分析：
1、病毒运行后便会复制自身到系统目录下：%Windows%\troyan.exe
2、病毒修改注册表文件：
　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avast
　 键值: 字串: "C:\WINNT\troyan.exe"
3、病毒尝试连接***.nl.eu.undernet.org的6667端口，接受恶意操作。
4、还会下载病毒相关文件到本地运行，并命名为：%Windows%\"z31.exe"
   注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　(1) 结束名为：troyan.exe的进程
　(2) 删除病毒释放的相关文件：
　　%Windows%\troyan.exe
　　%Windows%\"z31.exe"
　(3) 删除注册表以下键值： 　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run\avast
　　键值: 字串: "C:\WINNT\troyan.exe"

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+：
　 木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:　
    采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。