|
|
病毒症状
该样本是使用“Borland Delphi”编写的“后门程序”,采用” Anti007”加壳方式试图躲避特征码扫描,长度为283,136字节,使用“ exe”扩展名,通过网页木马、下载器下载的方式进行传播。病毒主要目的是使客户机器成为傀儡机器,接受黑客控制。
用户中毒后,会出现计算机及网络运行缓慢、无故关机、重要资料丢失等现象。
感染对象
Windows 2000/Windows XP/Windows 2003/Windows Vista
传播途径
网页挂马、文件捆绑、下载器下载
病毒分析
1、病毒运行后首先比较自己是否为svchost.exe,如果不是,再次比较是否为windows.exe。
2、如果不是windows.exe,就创建互斥量,拷贝自己为windows.exe,设置为系统、隐藏属性,创建名称为windows的服务,服务程序为windows.exe,注入svchost.exe进程,连接网络,接受黑客指令。
3、创建批处理文件,退出当前进程,执行批处理,自我删除。
病毒创建文件:
%SystemRoot%\system32\windows.exe
%SystemRoot%\uninstel.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows
病毒访问网络:
dld1.***.biz
手动解决办法:
1、手动删除以下文件:
%SystemRoot%\system32\windows.exe
2、手动删除以下注册表键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows
变量声明:
%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles” |
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2010-2-17 11:42:20
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡