Backdoor.Win32.VB.azk,病毒名。該病毒運行後,衍生病毒檔案到系統目錄下,添加服務項以隨機引導病毒體。病毒試圖連線後門客戶端,下載病毒檔案。
基本介紹
- 軟體名稱:網路調試器
- 外文名:Backdoor.Win32.VB.azk
- 病毒類型:後門類
- 公開範圍:完全公開
- 檔案長度:68,096位元組
病毒簡介,行為分析,清除方案,
病毒簡介
檔案MD5:279C36781062E03D25A428D9CD9A54C9
危害等級:中等
感染系統:Win98以上系統
開發工具:Microsoft Visual Basic 5.0 / 6.0
加殼類型:ASPack 2.12 -> Alexey Solodovnikov
命名對照:瑞星[Backdoor.VB.pvp]
病毒描述:
行為分析
1、衍生下列副本與檔案
%WinDir%\svchost.exe
%WinDir%\small.dat
%WinDir%\1.dat
%system32%\NetDebug.exe
%system32%\down.exe
%system32%\MSINET.OCX
%system32%\MSWINSCK.OCX
2、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\SerND\Description
鍵值: 字元串: "管理和監視計算機的網路通信協定,如果服務停止,這些功能不可用。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SerND
\DisplayName鍵值: 字元串: "Server Network Debug"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SerND\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 49 (0x31) 位元組
%WINDOWS%\system32\NetDebug.exe
3、連線下列地址:
wjhxxb.nju.edu.cn(202.119.52.185)
GET /ch/config/pubnet/update.exe
User-Agent: Tgwang
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
NetDebug.exe
(2) 刪除病毒釋放檔案
%WinDir%\svchost.exe
%WinDir%\small.dat
%WinDir%\1.dat
%system32%\NetDebug.exe
%system32%\down.exe
%system32%\MSINET.OCX
%system32%\MSWINSCK.OCX
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SerND\Description鍵值: 字元串: "管理和監視計算機的網路通信協定,如果服務停止,這些功能不可用。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SerND
\DisplayName鍵值: 字元串: "Server Network Debug"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SerND
\ImagePath鍵值: 類型: REG_EXPAND_SZ 長度: 49 (0x31) 位元組
%WINDOWS%\system32\NetDebug.exe
