該病毒屬後門類,主要通過網路共享傳播,病毒運行後複製自身到%SYSTEM%\iexplore.exe,而後修改註冊表檔案,註冊為服務,為了達到欺騙用戶的目的,其服務名為:Alerter Service,病毒運行後還會嘗試停止某些服務。病毒開啟本地連線埠後自動連線到某IRC信道,等待並接受惡意者的連線控制,竊取遊戲的CD-KEY。該病毒對用戶有一定的危害。
基本介紹
- 外文名: Backdoor.Win32.Wootbot.gen
- 公開範圍: 完全公開
- 危害等級:中
- 開發工具: Microsoft Visual C++ 6.0
- 病毒類型: 後門
概述,行為分析,清除方案,
概述
病毒名稱: Backdoor.Win32.Wootbot.gen
中文名稱: 無
檔案 MD5: 7F28689FEC0BF10058393CB7F9E75094
公開範圍: 完全公開
危害等級: 中
檔案長度:98,160 位元組
感染系統: windows 98及以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: FSG
命名對照:Symentec[無]
Mcafee[無]
行為分析
1、病毒運行後複製自身到:%SYSTEM%\iexplore.exe
2、修改註冊表,添加服務,達到隨系統啟動的目的
服務名稱:Alerter Service
檔案路徑:"%SYSTEM%\iexplore.exe" -netsvcs
3、病毒運行後嘗試停止某些服務,如:
wuauserv
WZCSVC
winmgmt
W32Time
upnphost
uploadmgr
TrkWks
TermService
TapiSrv
stisvc
SSDPSRV
4、病毒通過網路共享及弱口令MYSQL進行傳播。
5、嘗試連線以下地址,等待並接受惡意者的控制,惡意者可以對感染主機執行任意操作。
66.7.174.***
216.221.188.***
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%SYSTEM%\iexplore.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_METHINE\SYSTEM\CurrentControlSet
\Services\alerters
