病毒名称:Backdoor.Win32.VB.azk
中文名称:网络调试器
病毒类型:后门类
文件MD5:279C36781062E03D25A428D9CD9A54C9
公开范围:完全公开
危害等级:中等
文件长度:68,096 字节
感染系统:Win98以上系统
开发工具:Microsoft Visual Basic 5.0 / 6.0
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
命名对照:瑞星[Backdoor.VB.pvp]
病毒描述:
该病毒运行后,衍生病毒文件到系统目录下,添加服务项以随机引导病毒体。病毒试图连接后门客户端,下载病毒文件。
行为分析:
1、衍生下列副本与文件
%WinDir%svchost.exe
%WinDir%small.dat
%WinDir%1.dat
%system32%NetDebug.exe
%system32%down.exe
%system32%MSINET.OCX
%system32%MSWINSCK.OCX
2、新建注册表键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ServicesSerNDDescription
键值: 字符串: "管理和监视计算机的网络通信协议,如果服务停止,
这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSerND
DisplayName键值: 字符串: "Server Network Debug"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSerNDImagePath
键值: 类型: REG_EXPAND_SZ 长度: 49 (0x31) 字节
%WINDOWS%system32NetDebug.exe
3、连接下列地址:
wjhxxb.nju.edu.cn(202.119.52.185)
GET /ch/config/pubnet/update.exe
User-Agent: Tgwang
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
NetDebug.exe
(2) 删除病毒释放文件
%WinDir%svchost.exe
%WinDir%small.dat
%WinDir%1.dat
%system32%NetDebug.exe
%system32%down.exe
%system32%MSINET.OCX
%system32%MSWINSCK.OCX
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
SerNDDescription键值: 字符串: "管理和监视计算机的网络通信协议,
如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSerND
DisplayName键值: 字符串: "Server Network Debug"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSerND
ImagePath键值: 类型: REG_EXPAND_SZ 长度: 49 (0x31) 字节
%WINDOWS%system32NetDebug.exe