概述

病毒描述

行为分析

清除方案

概述

病毒名称： Backdoor.Win32.Bifrose.uw

中文名称： 禽兽

病毒类型： 后门类

文件 MD5： 7857AE52C2F70197E9D8BD7E079FC496

公开范围： 完全公开

危害等级： 中等

文件长度： 51,904 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 6.0

加壳类型:　FSG 1.33 -> dulek/xt [Overlay]

命名对照： 驱逐舰[Backdoor.Biforse]

Ewido[Backdoor.Biforse.dv]

病毒描述

该病毒为Backdoor.Win32.Bifrose.ti生成的服务端，能根据用户要求，生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值，是否注射进程等功能的服务端。该病毒运行后，衍生病毒副本到系统目录%windwos%或%System32%下，添加注册表启动项，以便在系统启动后运行，使受感染主机可能被运行有害程序。

行为分析

1、根据用户设置衍生下列副本与文件

%system32%\\病毒文件名

%system32%\\plugin1.dat

%Windir%\\病毒文件名

%Windir%\\ plugin1.dat

2、新建注册表键值：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\startkey

键值: 字符串: "病毒所在路径\\病毒文件名"

3、插入IE进程连接下列地址：

IEXPLORE.EXE　TCP 本机名称:1155　***.16.252.112:2000　SYN_SENT

IEXPLORE.EXE　TCP 本机名称:1439　***.12.88.98.:2000　SYN_SENT

4、连接下列服务器：

***ernet.net

www.**-ip.com

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

IEXPLORE.EXE

(2) 删除病毒衍生文件

%system32%\\病毒文件名

%system32%\\plugin1.dat

%Windir%\\病毒文件名

%Windir%\\ plugin1.dat

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run\\startkey

键值: 字符串: "病毒所在路径\\病毒文件名"