一、 病毒标签: 病毒名称: Backdoor.Win32.Popwin.amz 病毒类型: 后门 文件 MD5:d1b2900d63e23406bdb3ee3aea430d8a 公开范围: 完全公开 危害等级: C 文件长度: 18.0 KB (18,477 字节) 开发工具: Microsoft Visual Basic 5.0 - 6.0 加壳类型: NSPACK壳 命名对照: 安博士V3 Win32/Autorun.worm.18477 1.005 江民杀毒 Backdoor/Popwin.l 1.059 熊猫卫士 Adware/Alexa 2.732
二、 病毒描述: 该病毒为后门程序。
三、 行为分析: 连接网络并下载: http://nx.51ylb.cn/e47e57844ef30ab4.exe 增加启动项目: HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\3CAAB5F8 3CAAB5F8为随机字符。 释放文件: *:\auto.exe Date: 11-14-2007 9:09 PM Size: 18,477 bytes *:\autorun.inf Date: 11-21-2007 7:35 PM Size: 78 bytes
c:\WINDOWS\system32\1AB63D90.EXE Date: 11-14-2007 9:09 PM Size: 18,477 bytes c:\WINDOWS\system32\CA2940C8.DLL Date: 11-21-2007 7:35 PM Size: 40,960 bytes 1AB63D90.EXE与CA2940C8.DLL为随机字符。
解决方案: 删除注册表启动项目(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作): HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\3CAAB5F8 删除文件(如遇提示无法删除文件,到down.45its.com下载费尔木马强制删除器工具进行强制删除): *:\auto.exe *:\autorun.inf c:\WINDOWS\system32\1AB63D90.EXE c:\WINDOWS\system32\CA2940C8.DLL
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量 %Windir%\ WINDODWS所在目录 %DriveLetter%\ 逻辑驱动器根目录 %ProgramFiles%\ 系统程序默认安装目录 %HomeDrive% = C:\ 当前启动的系统的所在分区 %Documents and Settings%\ 当前用户文档根目录 A级 大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。 B级 有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种 C级 有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。 D级 有极少量感染流行,但有一定潜在威胁。 E级 没有发现感染流行。
|