Backdoor.Win32.FireFly.a
病毒名称: Backdoor.Win32.FireFly.a
病毒类型: 后门
文件 MD5: 31D322EA5F0405CE9B1E1F28E3D67F0B
公开范围: 完全公开
危害等级: 中
文件长度: 1,857,299 字节
感染系统: windows 98以上版本
开发工具: Borland Delphi 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
命名对照: Symentec[]
Mcafee[]
病毒描述:
该病毒属后门类,病毒图标为压缩文件zip图标,病毒文件使用UPX绑定一个jpg图片和病毒体qqq.exe。病毒运行后解压jpg图片和病毒体qqq.exe并自动运行病毒体qqq.exe,qqq.exe生成一个批处理器文件,删除本身及病毒体qqq.exe。病毒体qqq.exe运行后衍生病毒文件,修改注册表,新建服务FireFly,用以开机自启动病毒。该病毒可远程控制用户计算机,可执行上传、下载、删除文件、截取用户桌面等操作。
行为分析:
1、病毒运行后解压jpg图片和病毒体qqq.exe并自动运行病毒体qqq.exe,qqq.exe生成一个批处理器文件,删除本身及病毒体qqq.exe
2、病毒运行后在所在目录解压一个jpg图片和病毒体,并自动运行病毒体,衍生病毒文件到%Program Files%FireFly:
%Program Files%FireFlyWinDeBug.exe
%Program Files%FireFlyFireFlyInfo.ini
3、修改注册表:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
值: 字符串: "C:Program FilesFireFlyWinDeBug.exe"=inDeBug"
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_FIREFLY�000
值: 字符串: "Service"=FireFly"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesFireFly
值: 字符串: "ImagePath"="C:Program FilesFireFlyWinDeBug.exe."
4、新建服务FireFly,用以开机自启动病毒:
服务名称:FireFly
启动类型:自动
可执行文件路径:C:Program FilesFireFlyWinDeBug.exe
5、该病毒可远程控制用户计算机,可执行上传、下载、删除文件、截取用户桌面等操作。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%FireFlyWinDeBug.exe
%Program Files%FireFlyFireFlyInfo.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindows
ShellNoRoamMUICache
值: 字符串: "C:Program FilesFireFly
WinDeBug.exe"=inDeBug"
HKEY_LOCAL_MACHINESYSTEMControlSet001Enum
RootLEGACY_FIREFLY�000
值: 字符串: "Service"=FireFly"
HKEY_LOCAL_MACHINESYSTEMControlSet001
ServicesFireFly
值: 字符串: "ImagePath"="C:Program Files
FireFlyWinDeBug.exe."