Backdoor.Win32.Ciadoor.122.a,後門類病毒,該病毒運行後,衍生病毒檔案到系統目錄下。添加註冊表啟動項以隨機引病毒體。該後門具有所有遠程控制功能,並可盜取大量用戶各類密碼信息。危害較大。
基本介紹
- 外文名:Backdoor.Win32.Ciadoor.122.a
- 病毒類型:後門類
- 公開範圍:完全公開
- 檔案 MD5: 5D13C9D85433C7DDDC268C9F2E7EE01C
- 危害等級:高
- 檔案長度:加殼後 68,910 字位元組,脫殼後247,808 位元組
- 感染系統:Win9X以上系統
- 開發工具:Microsoft Visual Basic 5.0 / 6.0
- 加殼類型 :UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
行為分析,清除方案,
行為分析
1 、衍生下列副本與檔案
%WinDir%\ services.exe
2 、新建下列註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion
\Windows\run Value: String: "%WINDIR%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion
\Windows\Run\Services Controller Value: String: "%WINDIR%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\Services Controller Value: String: "%WINDIR%\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\Services Controller
Value: String: "%WINDIR%\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\Services Controller Value: String: "%WINDIR%\services.exe"
3 、修改下列註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
New: String: "%WINDIR%\services.exe"
Old: String: ""
4 、連線下列伺服器地址:
(66.90.87.155) DstPort:http(80)
5 、在 Win9X 系統,修改 Win.ini 和 System.ini 檔案:
Win.ini
[windows]
load="C:\WINDOWS\WinIogon.exe"
run="C:\WINDOWS\WinIogon.exe"
System.ini
[boot]
shell=Explorer.exe C:\WINDOWS\WinIogon.exe
6 、使用 ICQ 郵件或者 CGI 腳本傳送給木馬種植者本機系統信息,例如 I 本機 P 地址、監聽連線埠、用戶名、伺服器版本、伺服器密碼等等。
7 、開放 TCP 連線埠 6222 供外界木馬種植者連線並控制本機控制端可以對本機做以下 操作:
複製、移動、刪除以及執行檔案;
查看或者關閉進程;
控制視窗;
抓取螢幕
抓取音頻;
記錄鍵盤訊息;
控制網路攝像機並抓取圖片;
盜取快取中的密碼;
上傳下載檔案;
關閉系統
查看瀏覽器歷史記錄;
盜取剪貼簿信息;
盜取系統信息;
創建並運行批處理檔案;
盜取系統檔案;
運行 DOS 密碼;
彈出假冒的 MSN 登入用戶視窗盜取 MSN 賬號和密碼;
8 、盜取遊戲和軟體的 CDKEY 以及序列號:
Counter-Strike
Half-Life
C&C Generals
Gunman Chronicles
Adobe Photoshop 6.0
IGI 2 - Covert Strike
Industry Giant 2
James Bond 007 - Nightfire
Medal Of Honor: Allied Assault
Medal Of Honor: Allied Assault - Spearhead
Need For Speed: Hot Pursuit 2
Shogun: Total War - Warlord Edition
Operation Flashpoint
Soldiers Of Anarchy
Unreal Tournament 2003
FIFA 2003
Red Alert 2
Red Alert Tiberian Sun
Operation Flashpoint Resistance
Sim City 4
US Special Forces: Team Factor
Adobe Photoshop 7.0
Adobe Illustrator 10.0
MIRC
Micro DVD Player
Adobe Photoshop Plugin Eye Candy 4.0
Adobe Photoshop Plugin Xenofex 1.0
Borland C++ Builder 6 Key
Borland C++ Builder 6 Licence
Delphi 6 Key
Delphi 6
Delphi 7
Macromedia Dreamweaver MX
Macromedia Flash MX
Macromedia Flash 5
Macromedia Freehand 10
Macromedia Fireworks MX
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線結束病毒進程:
(2) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion
\Windows\run Value: String: "%WINDIR%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion
\Windows\Run\Services Controller Value: String: "%WINDIR%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\Services Controller Value: String: "%WINDIR%\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\Services Controller Value: String: "%WINDIR%\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\Services Controller Value: String: "%WINDIR%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion
\Windows\load
New: String: "%WINDIR%\services.exe"
Old: String: ""
(3) 重新啟動計算機
(3) 刪除病毒釋放檔案
%WinDir%\ services.exe
