国产精品亚洲综合一区在线观看,老鸭窝亚洲欧美国产日韩在线,亚洲专区中文字幕第三页

您當(dāng)前所在位置：首頁 → 網(wǎng)絡(luò)安全 → 病毒防治 → 后門程序Backdoor.Win32.Generic.apy手工清除解決方案

后門程序Backdoor.Win32.Generic.apy手工清除解決方案 時間：2015/6/28來源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評論(0)

手動解決辦法：

1.手動停止并刪除服務(wù)" Windows Test My Test 1.0"

2.手動刪除文件
"%SystemRoot%\system32\AliveService.exe "
"%Temp%\aebwg.exe（文件名隨機(jī)）"
"%Temp%\PPTufwve.exe（文件名隨機(jī)）"

變量聲明：

%SystemDriver%　　　　　　　系統(tǒng)所在分區(qū)，通常為"C:\"
%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為"C:\Windows"
%Documents and Settings%　　用戶文檔目錄，通常為"C:\Documents and Settings"
%Temp%　　　　　　　　　　　臨時文件夾，通常為"C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp"
%ProgramFiles%　　　　　　　系統(tǒng)程序默認(rèn)安裝目錄，通常為："C:\ProgramFiles"

病毒分析：

1.判斷注冊表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test My Test 1.0"是否存在，不存在則執(zhí)行步驟。
2.獲取系統(tǒng)目錄，將自身拷貝重命名為"C:\WINDOWS\system32\AliveService.exe"。
3.連接服務(wù)控制管理器，創(chuàng)建名字為"Windows Test My Test 1.0"的服務(wù)，顯示名稱為"Windows Test My Test Server 1.0"，啟動類型為自動，執(zhí)行映像指向"C:\WINDOWS\system32\AliveService.exe"，服務(wù)描述信息為"This is WindowsTest My Test Server 1.0."，之后啟動此服務(wù)。
4.創(chuàng)建新進(jìn)程，執(zhí)行命令"C:\WINDOWS\system32\cmd.exe /c del 病毒主程序 > nul"，將病毒主程序刪除。
5.病毒服務(wù)"Windows Test My Test 1.0"啟動之后，開辟多線程：
(1)創(chuàng)建名字為"Windows Test My Test 1.0"的互斥對象，防止重復(fù)執(zhí)行。
(2)解密遠(yuǎn)程地址"vip1.**-shopping.com:8000"，創(chuàng)建網(wǎng)絡(luò)連接，連接到該主機(jī)，獲取本地語言信息、操作系統(tǒng)版本信息等信息發(fā)送到遠(yuǎn)程主機(jī)，并接收控制命令，執(zhí)行其他惡意操作。
(3)惡意操作包括：接收病毒網(wǎng)址，下載病毒文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aebwg.exe（文件名隨機(jī)）"、"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\PPTufwve.exe（文件名隨機(jī)）"并隱藏執(zhí)行、解密其他主機(jī)地址，對其其發(fā)動洪水攻擊、卸載自身服務(wù)等。

病毒創(chuàng)建文件：

"%SystemRoot%\system32\AliveService.exe "
"%Temp%\aebwg.exe（文件名隨機(jī)）"
"%Temp%\PPTufwve.exe（文件名隨機(jī)）"

病毒刪除文件：

病毒主程序

病毒訪問網(wǎng)絡(luò)：

"vip1.**-shopping.com:8000"

關(guān)鍵詞標(biāo)簽：后門程序,解決方案

相關(guān)閱讀

文章評論

查看所有0條評論>>