该病毒为僵尸类后门,病毒运行后获取文件标题后拷贝病毒自身到%System32%目录下(病毒名不变),调用API函数创建病毒服务并写入注册表,创建病毒进程,获取环境变量得到病毒路径
病毒名称: Backdoor.Win32.Small.oo
病毒类型: 后门
文件 MD5: 439F062FCAFC7F6E1EA2ACA83C9E960A
公开范围: 完全公开
危害等级: 4
文件长度: 15,872 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
病毒描述
该病毒为僵尸类后门,病毒运行后获取文件标题后拷贝病毒自身到%System32%目录下(病毒名不变),调用API函数创建病毒服务并写入注册表,创建病毒进程,获取环境变量得到病毒路径,使用CMD命令将病毒自身删除,连接到指定的IP地址等待接收控制者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为,严重的会造成网络瘫痪。
行为分析-本地行为
1、文件运行后会释放以下文件
%System32%\原病毒文件名.exe 15,872 字节
2、创建注册表病毒服务项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsRemote]
注册表值: "Description"
类型: REG_SZ"
值:字串:"Network Connections Management"
描述: 病毒服务描述
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsRemote]
注册表值: "DisplayName"
类型: REG_SZ
值:字符串: "Windows Accounts Driver"
描述: 病毒服务名
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsRemote]
注册表值: "ImagePath"
类型: REG_SZ
值:字符串: "C:\WINDOWS\System32\原病毒文件名.exe."
描述: 服务映像文件的启动路径
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsRemote]
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 2 (0x2)"
描述: 服务的启动方式,手动
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsRemote]
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 16 (0x10)"
描述: 服务类型
3、获取环境变量得到病毒路径,使用CMD命令将病毒自身删除,连接到指定的IP地址:121.15.247.**等待接收控制者发送的控制指令。
行为分析-网络行为
协议:TCP
端口:1801
IP地址:121.15.247.**
描述:连接到该IP地址等待接收病毒作者发送的控制指令
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”结束原病毒文件名.exe进程。
(2) 强行删除病毒文件
%System32%\原病毒文件名.exe
(3) 删除病毒服务注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
注册表值: "WindowsRemote"
删除WindowsRemote键下所有的键值
京公网安备 11010802021500号