病毒资料：W32/Hesive.C!tr 基本信息 病毒名称: W32/Hesive.C!tr 类型: 后门程序 长度: 51037 威胁级别: 2 捕获日期: 2006-03-08 其它别名: Backdoor.Hesive.C(Norton) 影响系统: Windows 98/me,Windows 2K,Windows XP 表现特征 1．系统响应速度减慢；2．在 Win NT/Win 2K/Win XP 下无其他明显现象；3．在 Win 9X 下，存在文件：    %SYSTEM%\{RANDOM CHARS}.dll    %SYSTEM%\{RANDOM CHARS}.sys    %SYSTEM%\{RANDOM CHARS}.drv    %SYSTEM%\{RANDOM CHARS}.log    注： {RANDOM CHARS} 代表 8 个随机字符组成的字符串； 行为分析 1．这是一个 PE 病毒，病毒长度为 51,037 字节；2．创建如下文件：    %SYSTEM%\{RANDOM CHARS}.dll （释放的文件，一个后门程序，Fortinet 检测为：W32/Hesive.C!tr）    %SYSTEM%\{RANDOM CHARS}.sys （释放的rootkit ，Fortinet 检测为：W32/Hesive.C!tr.rootkit）    %SYSTEM%\{RANDOM CHARS}.drv （一个键盘记录器，Fortinet 检测为：W32/PcClient.C-bdr ）    %SYSTEM%\{RANDOM CHARS}.log （记录键盘动作的文本文件，无危害）    注： {RANDOM CHARS} 代表 8 个随机字符组成的字符串；3．注入 Windows 进程：iexplore.exe；4．创建如下子键：    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS}    注： {RANDOM CHARS} 代表 8 个随机字符组成的字符串；5．试图创建如下键值：    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters    “ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll”    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run    “(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll，Do98Work”6．使用 rootkit 隐藏病毒文件（仅 NT 核心的系统下有效）；7．连接到远端服务器 http：//222.56.52.192 的 80 端口，试图下载文件（此网址已被屏蔽）； 清除方法 1．进入安全模式，删除如下文件：    %SYSTEM%\{RANDOM CHARS}.dll    %SYSTEM%\{RANDOM CHARS}.sys    %SYSTEM%\{RANDOM CHARS}.drv    %SYSTEM%\{RANDOM CHARS}.log2．删除注册表项：    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS}    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS}    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters    “ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll”    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run    “(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll，Do98Work”

评论