返回列表 发帖
hao123 该用户已被删除
楼主 跳转到 » 倒序看帖
打印
tT
hao123发表于 2006-7-12 14:52 | 只看该作者

[转帖]后门病毒Backdoor.Win32.Way.20

转帖:后门病毒Backdoor.Win32.Way.20
来自安天实验室:
http://www.antiy.com/index.htm
病毒标签:
病毒名称: Backdoor.Win32.Way.20
病毒类型: 后门
文件 MD5: D5000921C009743121900970CB8EA4E6
公开范围: 完全公开
危害等级: 中
文件长度: 202,752 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 4.0 - 5.0
加壳类型: ASPack 1.07b
命名对照: Symentec[BackDoor.Way]
      Mcafee[BackDoor-so]

病毒描述:
  该病毒属后门类,病毒运行后,释放病毒文件%system32%\msgsvc.exe,修改注册表,添加启动项,以达到随机启动的目的,病毒伪装成txt文件图标,用以诱惑用户点击运行,在进程管理器中病毒隐藏进程,用户运行病毒后,病毒作者就可以对用户进行远程控制,从而获取用户敏感信息和重要文件等。该病毒对用户有一定的危害。

行为分析:
1、病毒运行后,释放病毒文件:
%system32%\msgsvc.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Msgtask "="C:\WINDOWS\system32\msgsvc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam
\MUICache\
键值: 字串: "病毒所在路径\msgsvc.exe"="msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
键值: 字串: "原病毒路径"="原病毒路径:*:Enabled:原病毒文件名"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
键值: 字串: "病毒所在路径"="病毒所在路径\msgsvc.exe:*:Enabled:msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List\
键值: 字串: "原病毒路径"="原病毒路径:*:Enabled:原病毒文件名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
键值: 字串: "病毒所在路径"="病毒所在路径\msgsvc.exe:*:Enabled:msgsvc"
3、病毒伪装成txt文件图标,用以诱惑用户点击运行。
4、用户运行病毒后,病毒作者就可以对用户进行远程控制,从而获取用户敏感信息和重要文件等。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%\msgsvc.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
键值: 字串: "Msgtask "="C:\WINDOWS
\system32\msgsvc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
键值: 字串: "病毒所在路径\msgsvc.exe"="msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\AuthorizedApplications\List\
键值: 字串: "原病毒路径"="原病毒路径:*:Enabled:原病毒文件名"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
键值: 字串: "病毒所在路径"="病毒所在路径\msgsvc.exe:*:Enabled:msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
键值: 字串: "原病毒路径"="原病毒路径:*:Enabled:原病毒文件名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
键值: 字串: "病毒所在路径"="病毒所在路径\msgsvc.exe:*:Enabled:msgsvc"

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
收藏 分享

返回列表 回复 发帖