| 词条 | Backdoor.Win32.VB.azk |
| 释义 | 病毒简介病毒名称:Backdoor.Win32.VB.azk 中文名称:网络调试器 病毒类型:后门类 文件MD5:279C36781062E03D25A428D9CD9A54C9 公开范围:完全公开 危害等级:中等 文件长度:68,096 字节 感染系统:Win98以上系统 开发工具:Microsoft Visual Basic 5.0 / 6.0 加壳类型:ASPack 2.12 -> Alexey Solodovnikov 命名对照:瑞星[Backdoor.VB.pvp] 病毒描述: 该病毒运行后,衍生病毒文件到系统目录下,添加服务项以随机引导病毒体。病毒试图连接后门客户端,下载病毒文件。 行为分析1、衍生下列副本与文件 %WinDir%\\svchost.exe %WinDir%\\small.dat %WinDir%\\1.dat %system32%\etDebug.exe %system32%\\down.exe %system32%\\MSINET.OCX %system32%\\MSWINSCK.OCX 2、新建注册表键值: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\SerND\\Description 键值: 字符串: "管理和监视计算机的网络通信协议,如果服务停止, 这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SerND \\DisplayName键值: 字符串: "Server Network Debug" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SerND\\ImagePath 键值: 类型: REG_EXPAND_SZ 长度: 49 (0x31) 字节 %WINDOWS%\\system32\etDebug.exe 3、连接下列地址: wjhxxb.nju.edu.cn(202.119.52.185) GET /ch/config/pubnet/update.exe User-Agent: Tgwang 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案1、使用安天木马防线可彻底清除此病毒(推荐) 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 NetDebug.exe (2) 删除病毒释放文件 %WinDir%\\svchost.exe %WinDir%\\small.dat %WinDir%\\1.dat %system32%\etDebug.exe %system32%\\down.exe %system32%\\MSINET.OCX %system32%\\MSWINSCK.OCX (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services \\SerND\\Description键值: 字符串: "管理和监视计算机的网络通信协议, 如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SerND \\DisplayName键值: 字符串: "Server Network Debug" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SerND \\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 49 (0x31) 字节 %WINDOWS%\\system32\etDebug.exe |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。