病毒资料:W32/Hesive.C!tr | |||||||||
基本信息 | |||||||||
病毒名称: | W32/Hesive.C!tr | 类型: | 后门程序 | 长度: | 51037 | 威胁级别: | 2 | 捕获日期: | 2006-03-08 |
其它别名: | Backdoor.Hesive.C(Norton) | 影响系统: | Windows 98/me,Windows 2K,Windows XP | ||||||
表现特征 | |||||||||
1.系统响应速度减慢; 2.在 Win NT/Win 2K/Win XP 下无其他明显现象; 3.在 Win 9X 下,存在文件: %SYSTEM%\{RANDOM CHARS}.dll %SYSTEM%\{RANDOM CHARS}.sys %SYSTEM%\{RANDOM CHARS}.drv %SYSTEM%\{RANDOM CHARS}.log 注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串; | |||||||||
行为分析 | |||||||||
1.这是一个 PE 病毒,病毒长度为 51,037 字节; 2.创建如下文件: %SYSTEM%\{RANDOM CHARS}.dll (释放的文件,一个后门程序,Fortinet 检测为:W32/Hesive.C!tr) %SYSTEM%\{RANDOM CHARS}.sys (释放的rootkit ,Fortinet 检测为:W32/Hesive.C!tr.rootkit) %SYSTEM%\{RANDOM CHARS}.drv (一个键盘记录器,Fortinet 检测为:W32/PcClient.C-bdr ) %SYSTEM%\{RANDOM CHARS}.log (记录键盘动作的文本文件,无危害) 注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串; 3.注入 Windows 进程:iexplore.exe; 4.创建如下子键: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS} 注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串; 5.试图创建如下键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters “ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll,Do98Work” 6.使用 rootkit 隐藏病毒文件(仅 NT 核心的系统下有效); 7.连接到远端服务器 http://222.56.52.192 的 80 端口,试图下载文件(此网址已被屏蔽); | |||||||||
清除方法 | |||||||||
1.进入安全模式,删除如下文件: %SYSTEM%\{RANDOM CHARS}.dll %SYSTEM%\{RANDOM CHARS}.sys %SYSTEM%\{RANDOM CHARS}.drv %SYSTEM%\{RANDOM CHARS}.log 2.删除注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{RANDOM CHARS} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{RANDOM CHARS} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters “ServiceDLL”=“%SYSTEM%\{RANDOM CHARS}.dll” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “(default)”=“rundll32.exe %SYSTEM%\{RANDOM CHARS}.dll,Do98Work” |
正文
[病毒资料之三]Backdoor.Hesive.C病毒2006-08-14 00:22:00
【评论】 【打印】 【字体:大 中 小】 本文链接:http://blog.pfan.cn/fengfei/17551.html
阅读(3941) | 评论(2)
版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!
评论