該病毒運行後,病毒衍生檔案到%WinDir%目錄下,創建服務以隨機引導病毒體。
基本介紹
- 中文名:Trojan-PSW.Win32.Agent.iua
- 病毒類型:後門類
- 公開範圍:完全公開
- 檔案MD5:1EC9DB1C9F5489089A5BD7174375EC6A
- 危害等級:高
- 檔案長度:241,963 位元組
- 感染系統:Win98以上系統
- 開發工具:Borland Delphi 6.0 - 7.0 [Overlay]
- 加殼工具:nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
- 命名對照:驅逐艦[Backdoor.Pigeon.83]瑞星[Backdoor.Gpigeon.kfj]
病毒描述,行為分析,清除方案,
病毒描述
注入執行緒到IEXPLORE.EXE進程中,連線後門客戶端。受感染用戶可被進行如下操作:檔案管理、獲取系統信息、剪貼簿查看、進程管理、視窗管理、鍵盤記錄、服務管理、共享管理,提供MS-Dos shell,提供代理服務,註冊表編輯,啟動telnet服務,捕獲螢幕,視頻監控,音頻監控,傳送音頻等。
行為分析
1、衍生下列副本與檔案
%Windir%\SVCH0St.exe
2、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVCH0ST
\Description
鍵值: 字元串: "服務程式。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVCH0ST\DisplayName
鍵值: 字元串: "SVCH0ST"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVCH0ST\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 23 (0x17) 位元組%WINDir%\SVCH0ST.exe.
3、連線客戶端地址:
Server:222.217.50.1278000連線埠。
4、連線成功後,互發如下信息以確認:
HGZ52007-01-12 10:45:3855老鷹又抓雞用%戶作業系統版本% (2600.Service Pack 2)%受感染用戶名%1680Ver1.23-1117馬哥我來了0010.0.27.100
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
IEXPLORE.EXE
(2) 刪除病毒釋放檔案
%Windir%\SVCH0St.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVCH0ST\Description
鍵值: 字元串: "服務程式。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVCH0ST\DisplayName
鍵值: 字元串: "SVCH0ST"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVCH0ST\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 23 (0x17) 位元組%WINDir%\SVCH0ST.exe
