Backdoor.Win32.Way.20

王朝百科·作者佚名 2010-02-20

宽屏版字体: 小|中|大|超大

病毒名称： Backdoor.Win32.Way.20

病毒类型：后门

文件 MD5： D5000921C009743121900970CB8EA4E6

公开范围：完全公开

危害等级：中

文件长度： 202,752 字节

感染系统： windows98以上版本

开发工具： Borland Delphi 4.0 - 5.0

加壳类型： ASPack 1.07b

命名对照： Symentec[BackDoor.Way]

Mcafee[BackDoor-so]

病毒描述：

该病毒属后门类，病毒运行后，释放病毒文件%system32%msgsvc.exe，修改注册表，添加启动项，以达到随机启动的目的，病毒伪装成txt文件图标，用以诱惑用户点击运行，在进程管理器中病毒隐藏进程，用户运行病毒后，病毒作者就可以对用户进行远程控制，从而获取用户敏感信息和重要文件等。该病毒对用户有一定的危害。

行为分析：

1、病毒运行后，释放病毒文件：

%system32%msgsvc.exe

2、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

键值: 字串: "Msgtask "="C:WINDOWSsystem32msgsvc.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam

MUICache

键值: 字串: "病毒所在路径msgsvc.exe"＝"msgsvc"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccess

ParametersFirewallPolicyStandardProfile

AuthorizedApplicationsList

键值: 字串: "原病毒路径"＝"原病毒路径:*:Enabled:原病毒文件名"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccess

ParametersFirewallPolicyStandardProfile

AuthorizedApplicationsList

键值: 字串: "病毒所在路径"＝"病毒所在路径msgsvc.exe:*:Enabled:msgsvc"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess

ParametersFirewallPolicyStandardProfile

AuthorizedApplicationsList

键值: 字串: "原病毒路径"＝"原病毒路径:*:Enabled:原病毒文件名"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess

ParametersFirewallPolicyStandardProfileAuthorizedApplicationsList

键值: 字串: "病毒所在路径"＝"病毒所在路径msgsvc.exe:*:Enabled:msgsvc"

3、病毒伪装成txt文件图标，用以诱惑用户点击运行。

4、用户运行病毒后，病毒作者就可以对用户进行远程控制，从而获取用户敏感信息和重要文件等。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%system32%msgsvc.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsCurrentVersionRun

键值: 字串: "Msgtask "="C:WINDOWS

system32msgsvc.exe"