正文

[病毒资料之三]Backdoor.Hesive.C病毒2006-08-14 00:22:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/fengfei/17551.html

分享到:

病毒资料:W32/Hesive.C!tr
基本信息
病毒名称: W32/Hesive.C!tr 类型: 后门程序 长度: 51037 威胁级别: 2 捕获日期: 2006-03-08
其它别名: Backdoor.Hesive.C(Norton) 影响系统: Windows 98/me,Windows 2K,Windows XP
表现特征
1.系统响应速度减慢;

2.在 Win NT/Win 2K/Win XP 下无其他明显现象;

3.在 Win 9X 下,存在文件:
    %SYSTEM%\{RANDOM CHARS}.dll
    %SYSTEM%\{RANDOM CHARS}.sys
    %SYSTEM%\{RANDOM CHARS}.drv
    %SYSTEM%\{RANDOM CHARS}.log
    注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串;

行为分析
1.这是一个 PE 病毒,病毒长度为 51,037 字节;

2.创建如下文件:
    %SYSTEM%\{RANDOM CHARS}.dll (释放的文件,一个后门程序,Fortinet 检测为:W32/Hesive.C!tr)
    %SYSTEM%\{RANDOM CHARS}.sys (释放的rootkit ,Fortinet 检测为:W32/Hesive.C!tr.rootkit)
    %SYSTEM%\{RANDOM CHARS}.drv (一个键盘记录器,Fortinet 检测为:W32/PcClient.C-bdr )
    %SYSTEM%\{RANDOM CHARS}.log (记录键盘动作的文本文件,无危害)
    注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串;

3.注入 Windows 进程:iexplore.exe;

4.创建如下子键:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS}
    注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串;

5.试图创建如下键值:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
    “ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll”
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    “(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll,Do98Work”

6.使用 rootkit 隐藏病毒文件(仅 NT 核心的系统下有效);

7.连接到远端服务器 http://222.56.52.192 的 80 端口,试图下载文件(此网址已被屏蔽);

清除方法
1.进入安全模式,删除如下文件:
    %SYSTEM%\{RANDOM CHARS}.dll
    %SYSTEM%\{RANDOM CHARS}.sys
    %SYSTEM%\{RANDOM CHARS}.drv
    %SYSTEM%\{RANDOM CHARS}.log

2.删除注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS}
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
    “ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll”
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    “(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll,Do98Work”

阅读(3941) | 评论(2)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

loading...
您需要登录后才能评论,请 登录 或者 注册