词条 | Backdoor.Win32.Ciadoor.122.a |
释义 | 该病毒运行后,衍生病毒文件到系统目录下。添加注册表启动项以随机引病毒体。该后门具有所有远程控制功能,并可盗取大量用户各类密码信息。危害较大。 基本信息病毒名称: Backdoor.Win32.Ciadoor.122.a 中文名称: 西亚门 病毒类型: 后门类 文件 MD5: 5D13C9D85433C7DDDC268C9F2E7EE01C 公开范围: 完全公开 危害等级: 高 文件长度: 加壳后 68,910 字字节,脱壳后247,808 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual Basic 5.0 / 6.0 加壳类型 : UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 行为分析1 、衍生下列副本与文件 %WinDir%\\ services.exe 2 、新建下列注册表键值: HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion \\Windows\\run Value: String: "%WINDIR%\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion \\Windows\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run \\Services Controller Value: String: "%WINDIR%\\services.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Run\\Services Controller Value: String: "%WINDIR%\\services.exe" 3 、修改下列注册表键值: HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\load New: String: "%WINDIR%\\services.exe" Old: String: "" 4 、连接下列服务器地址: (66.90.87.155) DstPort:http(80) 5 、在 Win9X 系统,修改 Win.ini 和 System.ini 文件: Win.ini [windows] load="C:\\WINDOWS\\WinIogon.exe" run="C:\\WINDOWS\\WinIogon.exe" System.ini [boot] shell=Explorer.exe C:\\WINDOWS\\WinIogon.exe 6 、使用 ICQ 邮件或者 CGI 脚本发送给木马种植者本机系统信息,例如 I 本机 P 地址、监听端口、用户名、服务器版本、服务器密码等等。 7 、开放 TCP 端口 6222 供外界木马种植者连接并控制本机控制端可以对本机做以下 操作: 复制、移动、删除以及执行文件; 查看或者关闭进程; 控制窗口; 抓取屏幕 抓取音频; 记录键盘消息; 控制网络摄像机并抓取图片; 盗取缓存中的密码; 上传下载文件; 关闭系统 控制电脑:打开关闭 CD-ROM ,改变键盘设置,隐藏 / 显示桌面,隐藏 / 显示任务栏,改变屏幕分辨率,控制鼠标等等; 查看浏览器历史记录; 盗取剪贴板信息; 盗取系统信息; 创建并运行批处理文件; 盗取系统文件; 运行 DOS 密码; 弹出假冒的 MSN 登陆用户窗口盗取 MSN 帐号和密码; 8 、盗取游戏和软件的 CDKEY 以及序列号: Counter-Strike Half-Life C&C Generals Gunman Chronicles Adobe Photoshop 6.0 IGI 2 - Covert Strike Industry Giant 2 James Bond 007 - Nightfire Medal Of Honor: Allied Assault Medal Of Honor: Allied Assault - Spearhead Need For Speed: Hot Pursuit 2 Shogun: Total War - Warlord Edition Operation Flashpoint Soldiers Of Anarchy Unreal Tournament 2003 FIFA 2003 Red Alert 2 Red Alert Tiberian Sun Operation Flashpoint Resistance Sim City 4 US Special Forces: Team Factor Adobe Photoshop 7.0 Adobe Illustrator 10.0 MIRC Micro DVD Player Adobe Photoshop Plugin Eye Candy 4.0 Adobe Photoshop Plugin Xenofex 1.0 Borland C++ Builder 6 Key Borland C++ Builder 6 Licence Delphi 6 Key Delphi 6 Delphi 7 Macromedia Dreamweaver MX Macromedia Flash MX Macromedia Flash 5 Macromedia Freehand 10 Macromedia Fireworks MX 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 -------------------------------------------------------------------------------- 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线结束病毒进程: (2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion \\Windows\\run Value: String: "%WINDIR%\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion \\Windows\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run \\Services Controller Value: String: "%WINDIR%\\services.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run\\Services Controller Value: String: "%WINDIR%\\services.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run \\Services Controller Value: String: "%WINDIR%\\services.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion \\Windows\\load New: String: "%WINDIR%\\services.exe" Old: String: "" (3) 重新启动计算机 (3) 删除病毒释放文件 %WinDir%\\ services.exe |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。