请输入您要查询的百科知识:

 

词条 Backdoor.Win32.Ciadoor.122.a
释义

该病毒运行后,衍生病毒文件到系统目录下。添加注册表启动项以随机引病毒体。该后门具有所有远程控制功能,并可盗取大量用户各类密码信息。危害较大。

基本信息

病毒名称: Backdoor.Win32.Ciadoor.122.a

中文名称: 西亚门

病毒类型: 后门类

文件 MD5: 5D13C9D85433C7DDDC268C9F2E7EE01C

公开范围: 完全公开

危害等级: 高

文件长度: 加壳后 68,910 字字节,脱壳后247,808 字节

感染系统: Win9X以上系统

开发工具: Microsoft Visual Basic 5.0 / 6.0

加壳类型 : UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

行为分析

1 、衍生下列副本与文件

%WinDir%\\ services.exe

2 、新建下列注册表键值:

HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion

\\Windows\\run Value: String: "%WINDIR%\\services.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion

\\Windows\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

\\Services Controller Value: String: "%WINDIR%\\services.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\policies\\Explorer\\Run\\Services Controller

Value: String: "%WINDIR%\\services.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe"

3 、修改下列注册表键值:

HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\load

New: String: "%WINDIR%\\services.exe"

Old: String: ""

4 、连接下列服务器地址:

(66.90.87.155) DstPort:http(80)

5 、在 Win9X 系统,修改 Win.ini 和 System.ini 文件:

Win.ini

[windows]

load="C:\\WINDOWS\\WinIogon.exe"

run="C:\\WINDOWS\\WinIogon.exe"

System.ini

[boot]

shell=Explorer.exe C:\\WINDOWS\\WinIogon.exe

6 、使用 ICQ 邮件或者 CGI 脚本发送给木马种植者本机系统信息,例如 I 本机 P 地址、监听端口、用户名、服务器版本、服务器密码等等。

7 、开放 TCP 端口 6222 供外界木马种植者连接并控制本机控制端可以对本机做以下 操作:

复制、移动、删除以及执行文件;

查看或者关闭进程;

控制窗口;

抓取屏幕

抓取音频;

记录键盘消息;

控制网络摄像机并抓取图片;

盗取缓存中的密码;

上传下载文件;

关闭系统

控制电脑:打开关闭 CD-ROM ,改变键盘设置,隐藏 / 显示桌面,隐藏 / 显示任务栏,改变屏幕分辨率,控制鼠标等等;

查看浏览器历史记录;

盗取剪贴板信息;

盗取系统信息;

创建并运行批处理文件;

盗取系统文件;

运行 DOS 密码;

弹出假冒的 MSN 登陆用户窗口盗取 MSN 帐号和密码;

8 、盗取游戏和软件的 CDKEY 以及序列号:

Counter-Strike

Half-Life

C&C Generals

Gunman Chronicles

Adobe Photoshop 6.0

IGI 2 - Covert Strike

Industry Giant 2

James Bond 007 - Nightfire

Medal Of Honor: Allied Assault

Medal Of Honor: Allied Assault - Spearhead

Need For Speed: Hot Pursuit 2

Shogun: Total War - Warlord Edition

Operation Flashpoint

Soldiers Of Anarchy

Unreal Tournament 2003

FIFA 2003

Red Alert 2

Red Alert Tiberian Sun

Operation Flashpoint Resistance

Sim City 4

US Special Forces: Team Factor

Adobe Photoshop 7.0

Adobe Illustrator 10.0

MIRC

Micro DVD Player

Adobe Photoshop Plugin Eye Candy 4.0

Adobe Photoshop Plugin Xenofex 1.0

Borland C++ Builder 6 Key

Borland C++ Builder 6 Licence

Delphi 6 Key

Delphi 6

Delphi 7

Macromedia Dreamweaver MX

Macromedia Flash MX

Macromedia Flash 5

Macromedia Freehand 10

Macromedia Fireworks MX

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

--------------------------------------------------------------------------------

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线结束病毒进程:

(2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion

\\Windows\\run Value: String: "%WINDIR%\\services.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion

\\Windows\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

\\Services Controller Value: String: "%WINDIR%\\services.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\policies\\Explorer\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

\\Services Controller Value: String: "%WINDIR%\\services.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion

\\Windows\\load

New: String: "%WINDIR%\\services.exe"

Old: String: ""

(3) 重新启动计算机

(3) 删除病毒释放文件

%WinDir%\\ services.exe

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/1 13:00:33