词条 | Backdoor.Win32.Bifrose.uw |
释义 | 概述病毒名称: Backdoor.Win32.Bifrose.uw 中文名称: 禽兽 病毒类型: 后门类 文件 MD5: 7857AE52C2F70197E9D8BD7E079FC496 公开范围: 完全公开 危害等级: 中等 文件长度: 51,904 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual C++ 6.0 加壳类型: FSG 1.33 -> dulek/xt [Overlay] 命名对照: 驱逐舰[Backdoor.Biforse] Ewido[Backdoor.Biforse.dv] 病毒描述该病毒为Backdoor.Win32.Bifrose.ti生成的服务端,能根据用户要求,生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值,是否注射进程等功能的服务端。该病毒运行后,衍生病毒副本到系统目录%windwos%或%System32%下,添加注册表启动项,以便在系统启动后运行,使受感染主机可能被运行有害程序。 行为分析1、根据用户设置衍生下列副本与文件 %system32%\\病毒文件名 %system32%\\plugin1.dat %Windir%\\病毒文件名 %Windir%\\ plugin1.dat 2、新建注册表键值: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run\\startkey 键值: 字符串: "病毒所在路径\\病毒文件名" 3、插入IE进程连接下列地址: IEXPLORE.EXE TCP 本机名称:1155 ***.16.252.112:2000 SYN_SENT IEXPLORE.EXE TCP 本机名称:1439 ***.12.88.98.:2000 SYN_SENT 4、连接下列服务器: ***ernet.net www.**-ip.com 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案1、使用安天木马防线可彻底清除此病毒(推荐) 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 IEXPLORE.EXE (2) 删除病毒衍生文件 %system32%\\病毒文件名 %system32%\\plugin1.dat %Windir%\\病毒文件名 %Windir%\\ plugin1.dat (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\startkey 键值: 字符串: "病毒所在路径\\病毒文件名" |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。