Backdoor.Win32.Ciadoor.122.a

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Backdoor.Win32.Ciadoor.122.a

中文名称：西亚门

病毒类型：后门类

文件 MD5： 5D13C9D85433C7DDDC268C9F2E7EE01C

公开范围：完全公开

危害等级：高

文件长度：加壳后 68,910 字字节，脱壳后247,808 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型 : UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下。添加注册表启动项以随机引病毒体。该后门具有所有远程控制功能，并可盗取大量用户各类密码信息。危害较大。

行为分析：

1 、衍生下列副本与文件

%WinDir% services.exe

2 、新建下列注册表键值：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersion

Windows

un Value: String: "%WINDIR%services.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersion

WindowsRunServices Controller Value: String: "%WINDIR%services.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Services Controller Value: String: "%WINDIR%services.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorerRunServices Controller

Value: String: "%WINDIR%services.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunServices Controller Value: String: "%WINDIR%services.exe"

3 、修改下列注册表键值：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload

New: String: "%WINDIR%services.exe"

Old: String: ""

4 、连接下列服务器地址：

www.digitaltoxicity.net(66.90.87.155) DstPort:http(80)

5 、在 Win9X 系统，修改 Win.ini 和 System.ini 文件：

Win.ini

[windows]

load="C:WINDOWSWinIogon.exe"

run="C:WINDOWSWinIogon.exe"

System.ini

[boot]

shell=Explorer.exe C:WINDOWSWinIogon.exe

6 、使用 ICQ 邮件或者 CGI 脚本发送给木马种植者本机系统信息，例如 I 本机 P 地址、监听端口、用户名、服务器版本、服务器密码等等。

7 、开放 TCP 端口 6222 供外界木马种植者连接并控制本机控制端可以对本机做以下操作：

复制、移动、删除以及执行文件；

查看或者关闭进程；

控制窗口；

抓取屏幕

抓取音频；

记录键盘消息；

控制网络摄像机并抓取图片；

盗取缓存中的密码；

上传下载文件；

关闭系统

控制电脑：打开关闭 CD-ROM ，改变键盘设置，隐藏 / 显示桌面，隐藏 / 显示任务栏，改变屏幕分辨率，控制鼠标等等；

查看浏览器历史记录；

盗取剪贴板信息；

盗取系统信息；

创建并运行批处理文件；

盗取系统文件；

运行 DOS 密码；

弹出假冒的 MSN 登陆用户窗口盗取 MSN 帐号和密码；

8 、盗取游戏和软件的 CDKEY 以及序列号：

Counter-Strike

Half-Life

C&C Generals

Gunman Chronicles

Adobe Photoshop 6.0

IGI 2 - Covert Strike

Industry Giant 2

James Bond 007 - Nightfire

Medal Of Honor: Allied Assault

Medal Of Honor: Allied Assault - Spearhead

Need For Speed: Hot Pursuit 2

Shogun: Total War - Warlord Edition

Operation Flashpoint

Soldiers Of Anarchy

Unreal Tournament 2003

FIFA 2003

Red Alert 2

Red Alert Tiberian Sun

Operation Flashpoint Resistance

Sim City 4

US Special Forces: Team Factor

Adobe Photoshop 7.0

Adobe Illustrator 10.0

MIRC

Micro DVD Player

Adobe Photoshop Plugin Eye Candy 4.0

Adobe Photoshop Plugin Xenofex 1.0

Borland C++ Builder 6 Key

Borland C++ Builder 6 Licence

Delphi 6 Key

Delphi 6

Delphi 7

Macromedia Dreamweaver MX

Macromedia Flash MX

Macromedia Flash 5

Macromedia Freehand 10

Macromedia Fireworks MX

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线结束病毒进程：

(2) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersion

Windows

un Value: String: "%WINDIR%services.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersion

WindowsRunServices Controller Value: String: "%WINDIR%services.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Services Controller Value: String: "%WINDIR%services.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorerRunServices Controller Value: String: "%WINDIR%services.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Services Controller Value: String: "%WINDIR%services.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersion

Windowsload

New: String: "%WINDIR%services.exe"

Old: String: ""

(3) 重新启动计算机

(3) 删除病毒释放文件

%WinDir% services.exe