Backdoor.win32.GrayBird.lc

王朝百科·作者佚名  2010-02-19  
宽屏版  字体: |||超大  

病毒名称: Backdoor.win32.GrayBird.lc

病毒类型: 后门类

文件 MD5: 8D935CC1DD1EAA334C97A0F8DD7A1A21

公开范围: 完全公开

危害等级: 中等

文件长度: 782,336字节

感染系统: windows98以上版本

开发工具: Borland Delphi 6.0 - 7.0

命名对照: Symentec[无]

Mcafee[New Malwera.W]

病毒描述:

该病毒属于后门类。病毒运行后删除自身。并衍生文件ntserver.exe到%windir%下。之后修改注册表,并添加名为ntserver系统服务。当用户运行此病毒,就会被病毒的利用者完全控制电脑。

行为分析:

1、该病毒运行后释放病毒文件:

%windir%

tserver.exe

2、新建注册表项:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_NTSERVER.EXE

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_NTSERVER.EXE000

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_NTSERVER.EXE000Class

键值: 字符串: "LegacyDriver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_NTSERVER.EXE000ControlActiveService

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_NTSERVER.EXE000DeviceDesc

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_NTSERVER.EXE000Service

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exe

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeDescription

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeDisplayName

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeEnum

HKEY_LOCAL_MACHINESYSTEMCurrentControlSe

tServicesNtServer.exeEnum

键值: 字符串: "RootLEGACY_NTSERVER.EXE000"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

NtServer.exeObjectName

键值: 字符串: "LocalSystem"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeStart

键值: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeType

键值: DWORD: 272 (0x110)

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%windir%

tserver.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_NTSERVER.EXE

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_NTSERVER.EXE000

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_NTSERVER.EXE000Class

键值: 字符串: "LegacyDriver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_NTSERVER.EXE000ControlActiveService

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_NTSERVER.EXE000DeviceDesc

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_NTSERVER.EXE000Service

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exe

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeDescription

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeDisplayName

键值: 字符串: "NtServer.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeEnum

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeEnum

键值: 字符串: "RootLEGACY_NTSERVER.EXE000"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeObjectName

键值: 字符串: "LocalSystem"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeStart

键值: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesNtServer.exeType

键值: DWORD: 272 (0x110)

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有