分享

当前位置: 王朝网络 >> 百科 >> Backdoor.Win32.FireFly.i

Backdoor.Win32.FireFly.i

王朝百科·作者佚名 2010-02-19

窄屏简体版字體: 小|中|大|超大

病毒名称： Backdoor.Win32.FireFly.i

中文名称：流萤

病毒类型：后门

文件 MD5： 435C685127510D58D2E5F9DF27115FA4

公开范围：完全公开

危害等级：中

文件长度： 37,494 字节

感染系统： windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX 0.89.6 - 1.02

命名对照： Symentec[无]

Mcafee[无]

病毒描述：

病毒运行后删除自身，释放病毒文件到新建文件夹%Program Files%firefly-remote 下，该病毒利用Rootkit隐藏技术，使文件夹firefly-remote和病毒进程FireFly.exe均不可见，关闭病毒进程FireFly.exe才能看到；病毒修改注册表，新建服务，以达到病毒随机启动的目的；注入到进程IExplore.exe中，使用动态域名。该病毒是远程控制软件流萤的受控端程序，可远程控制中毒用户的计算机，盗取用户敏感信息，下载、删除用户文件，抓取用户屏幕等功能。

行为分析：

1、病毒运行后删除自身，释放病毒文件到新建文件夹%Program Files%firefly-remote ：

%Program Files%firefly-remoteFireFly.dat

%Program Files%firefly-remoteFireFly.exe

%Program Files%firefly-remoteFireFly.ini

%Program Files%firefly-remoteInstall.DLL

2、病毒利用Rootkit隐藏技术，使文件夹firefly-remote和病毒进程FireFly.exe均不可见，关闭病毒进程FireFly.exe才能看到。

3、修改注册表：

修改的注册表键值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionInternet SettingsCachePathsDirectory

新建键值: 字串: "C:Documents and SettingsLocalService

Local SettingsTemporary Internet FilesContent.IE5"

原键值: 字串: "C:Documents and Settingscommander

Local SettingsTemporary Internet FilesContent.IE5"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionInternet SettingsCachePathspath1CachePath

新建键值: 字串: "C:Documents and SettingsLocalService

Local SettingsTemporary Internet FilesContent.IE5Cache1"

原键值: 字串: "C:Documents and Settingscommander

Local SettingsTemporary Internet FilesContent.IE5Cache1"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionInternet SettingsCachePathspath2CachePath

新建键值: 字串: "C:Documents and SettingsLocalService

Local SettingsTemporary Internet FilesContent.IE5Cache2"

原键值: 字串: "C:Documents and SettingscommanderLocal Settings

Temporary Internet FilesContent.IE5Cache2"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsCachePathspath3CachePath

新建键值: 字串: "C:Documents and SettingsLocalService

Local SettingsTemporary Internet FilesContent.IE5Cache3"

原键值: 字串: "C:Documents and Settingscommander

Local SettingsTemporary Internet FilesContent.IE5Cache3"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Internet SettingsCachePathspath4CachePath

新建键值: 字串: "C:Documents and SettingsLocalService

Local SettingsTemporary Internet FilesContent.IE5Cache4"

原键值: 字串: "C:Documents and SettingscommanderLocal Settings

Temporary Internet FilesContent.IE5Cache4"

新建键值：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache

C:Program FilesFirefly-RemoteFireFly.exe

键值: 字串: "RemoteControl Software"

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOTE

_CONTROL000Class

键值: 字串: "LegacyDriver"

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOTE

_CONTROL000ControlActiveService

键值: 字串: "Remote Control"

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOTE

_CONTROL000DeviceDesc

键值: 字串: "Remote Control"

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_REMOT

E_CONTROL000Service

键值: 字串: "Remote Control"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRemote Contro

lEnum

键值: 字串: "RootLEGACY_REMOTE_CONTROL000"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRemote Control

ImagePath

键值: 字串: C:Program FilesFirefly-RemoteFireFly.exe.

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRemote Control

ObjectName

键值: 字串: "LocalSystem"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE

_CONTROL000Class

键值: 字串: "LegacyDriver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE

_CONTROL000ControlActiveService

键值: 字串: "Remote Control"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE

_CONTROL000DeviceDesc

键值: 字串: "Remote Control"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_REMOTE

_CONTROL000Service

键值: 字串: "Remote Control"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemote Control

ImagePath

键值: 字串: C:Program FilesFirefly-RemoteFireFly.exe.

4、新建服务，以达到病毒随机启动的目的：

新建服务Remote Control，以达到随机启动病毒C:Program FilesFirefly-Remote FireFly.exe的目的。

5、注入到进程IExplore.exe中：

AutoInject IExplore.exe

6、使用动态域名：

wsdgs.3322.org

7、病毒是远程控制软件流萤的受控端程序，可远程控制中毒用户的计算机，盗取用户敏感信息，下载、删除用户文件，抓取用户屏幕等功能。

8、控制者信息：

IP地址：60.216.121.170(山东省济南市网通)

端口：10288

连接密码：3316547

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

点击展开全文

上一篇：实德二线队

下一篇：Backdoor.Win32.Rbot.gen

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12

推荐阅读

关注内容

>>返回首頁<<

靜靜地坐在廢墟上，四周的荒凉一望無際，忽然覺得，淒涼也很美

© 2005- 王朝網路版權所有