病毒名称: Backdoor.Win32.Bifrose.uw
中文名称: 禽兽
病毒类型: 后门类
文件 MD5: 7857AE52C2F70197E9D8BD7E079FC496
公开范围: 完全公开
危害等级: 中等
文件长度: 51,904 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual C++ 6.0
加壳类型:FSG 1.33 -> dulek/xt [Overlay]
命名对照: 驱逐舰[Backdoor.Biforse]
Ewido[Backdoor.Biforse.dv]
病毒描述:
该病毒为Backdoor.Win32.Bifrose.ti生成的服务端,能根据用户要求,生成包括DNS服务器、打开的远程端口、C/S验证口令、安装目录、启动注册表键值,是否注射进程等功能的服务端。该病毒运行后,衍生病毒副本到系统目录%windwos%或%System32%下,添加注册表启动项,以便在系统启动后运行,使受感染主机可能被运行有害程序。
行为分析:
1、根据用户设置衍生下列副本与文件
%system32%病毒文件名
%system32%plugin1.dat
%Windir%病毒文件名
%Windir% plugin1.dat
2、新建注册表键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunstartkey
键值: 字符串: "病毒所在路径病毒文件名"
3、插入IE进程连接下列地址:
IEXPLORE.EXETCP 本机名称:1155***.16.252.112:2000SYN_SENT
IEXPLORE.EXETCP 本机名称:1439***.12.88.98.:2000SYN_SENT
4、连接下列服务器:
***ernet.net
www.**-ip.com
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
IEXPLORE.EXE
(2) 删除病毒衍生文件
%system32%病毒文件名
%system32%plugin1.dat
%Windir%病毒文件名
%Windir% plugin1.dat
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunstartkey
键值: 字符串: "病毒所在路径病毒文件名"
