| 词条 | Backdoor.Win32.ShangXing.av |
| 释义 | 病毒信息病毒名称:Backdoor.Win32.ShangXing.av 中文名称:上兴远程控制V3.9 病毒类型: 后门类 文件 MD5: 80ED230F00C5D4F688EEA045AEC0A2A5 公开范围: 完全公开 危害等级: 严重 文件长度: 849,561 字节 感染系统: Win9X以上系统 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: Upack 0.3.9 beta2s -> Dwing 命名对照: 驱逐舰[Backdoor.Pegeon.421] 病毒描述该病毒运行后,需要用户生成客户端,当某人运行客户端后,就会成为受控制端。客户端运行后,会在%System32%释放两个文件,并会以线程的方式寄生到IEXPLOER.EXE进程中。之后生成一项服务,以便在开机后运行客户端。当用户感染此病毒后,会完全受控于病毒客户端。 行为分析1、释放下列副本与文件 %\\program files\\%common files\\microsoft shared\\msinfo\\客户端名.exe 2、新建注册表键值: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\Windows_rejoice\\Description键值: 字符串: "上兴远控服务端" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\Windows_rejoice\\DisplayName键值: 字符串: "Windows_客户端名" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\Windows_rejoice\\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节 %\\program files\\%common files\\microsoft shared\\msinfo\\客户端名.exe 3、服务端插入IE线程,连接客户端。 客户端打开本地8080端口等待服务端连接。 4、客户端运行后会连接下列网址: WWW.**exe.com 5、添加下列服务: 名称 Windows_客户端名 描述 上兴远控服务端 发行商 映象路径 %\\program files\\%common files\\microsoft shared\\msinfo\\客户端名.exe 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案1、使用安天木马防线可彻底清除此病毒(推荐) 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 IEXPLORE.EXE 病毒同名进程 (2) 删除病毒文件 %\\program files\\%common files\\microsoft shared\\msinfo\\客户端名.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\Windows_rejoice\\Description键值: 字符串: "上兴远控服务端" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\Windows_rejoice\\DisplayName键值: 字符串: "Windows_客户端名" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\Windows_rejoice\\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节 %\\program files\\%common files\\microsoft shared\\msinfo\\客户端名.exe |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。