該病毒運行後,需要用戶生成客戶端,當某人運行客戶端後,就會成為受控制端。客戶端運行後,會在%System32%釋放兩個檔案,並會以執行緒的方式寄生到IEXPLOER.EXE進程中。之後生成一項服務,以便在開機後運行客戶端。當用戶感染此病毒後,會完全受控於病毒客戶端。
基本介紹
- 中文名:上興遠程控制V3.9
- 外文名:Backdoor.Win32.ShangXing.av
- 病毒類型: 後門類
- 檔案長度: 849,561 位元組
病毒信息,行為分析,清除方案,
病毒信息
病毒名稱:Backdoor.Win32.ShangXing.av
中文名稱:
檔案 MD5: 80ED230F00C5D4F688EEA045AEC0A2A5
公開範圍: 完全公開
危害等級: 嚴重
感染系統: Win9X以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: Upack 0.3.9 beta2s -> Dwing
命名對照: 驅逐艦[Backdoor.Pegeon.421]
行為分析
1、釋放下列副本與檔案
%\program files\%common files\microsoft shared\msinfo\客戶端名.exe
2、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description鍵值: 字元串: "上興遠控服務端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName鍵值: 字元串: "Windows_客戶端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath鍵值: 類型: REG_EXPAND_SZ 長度: 66 (0x42) 位元組
%\program files\%common files\microsoft shared\msinfo\客戶端名.exe
客戶端打開本地8080連線埠等待服務端連線。
4、客戶端運行後會連線下列網址:
WWW.**exe.com
5、添加下列服務:
名稱
Windows_客戶端名
描述
上興遠控服務端
發行商
映象路徑
%\program files\%common files\microsoft shared\msinfo\客戶端名.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
IEXPLORE.EXE
病毒同名進程
(2) 刪除病毒檔案
%\program files\%common files\microsoft shared\msinfo\客戶端名.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description鍵值: 字元串: "上興遠控服務端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName鍵值: 字元串: "Windows_客戶端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath鍵值: 類型: REG_EXPAND_SZ 長度: 66 (0x42) 位元組
%\program files\%common files\microsoft shared\msinfo\客戶端名.exe
