Backdoor.Win32.Nepoe.d分析报告
安天实验室 CERT组分析
一、 病毒标签:
病毒名称: Backdoor.Win32.Nepoe.d
病毒类型: 后门类
文件 MD5: 648FC02A1ACDFBBDF0AF9828422231E6
公开范围: 完全公开
危害等级: 4
文件长度: 49,664 字节
感染系统: windows 98以上版本
开发工具: Microsoft Visual C++
加壳类型: eXPressor v1.4
二、 病毒描述:
该病毒为后门类 ,病毒运行后复制自身到系统目录,并重命名为firewall.exe,并删除自身。 修改注册表,添加启动项,以达到随机启动的目的。连接到IRC服务器地址,等待受控。
通过恶意网站、其它病毒/木马下载传播;该病毒可以盗取用户敏感信息。
三、 行为分析:
1、病毒运行后衍生病毒文件:
%System32%/firewall.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串: "Windows Network Firewall" = "%System32%/firewall.exe "
3、连接到IRC服务器地址: 69.25.212.180:1863,内置命令如下:
JOIN
MODE %s +smntu
001MODE %s +smntu
MODE %s +xi001MODE %s +smntu
##supersonique
JOIN %s %s
USERHOST %sMODE %s +xi001MODE %s +smntu
451USERHOST %sMODE %s +xi001MODE %s +smntu
302451USERHOST %sMODE %s +xi001MODE %s +smntu
……
4、连接到IRC服务器,等待受控,命令说明如下:
IRC命令如:
/join <#闲聊室> [该闲聊室的密码]
/nick <新别名>
/quit [退出连接的理由]
......
对目标主机的操作:
下载文件
发起拒绝服务(DDOS)攻击
执行IRC命令
执行系统扫描
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%/当前用户/Local Settings/Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:/Winnt/System32;
Windows95/98/Me中默认的安装路径是 C:/Windows/System;
WindowsXP中默认的安装路径是 C:/Windows/System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:
www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址:
www.antiy.com或
http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
%System32%/firewall.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串: "Windows Network Firewall" = "%System32%/firewall.exe "
京公网安备 11010802021500号