您當(dāng)前所在位置:
首頁(yè) →
網(wǎng)絡(luò)安全 →
病毒防治 →
后門程序Backdoor.Win32.Generic.apy手工清除解決方案
后門程序Backdoor.Win32.Generic.apy手工清除解決方案
時(shí)間:2015-06-28 00:00:00
來(lái)源:IT貓撲網(wǎng)
作者:網(wǎng)管聯(lián)盟
我要評(píng)論(0)
- 手動(dòng)解決辦法:
1.手動(dòng)停止并刪除服務(wù)" Windows Test My Test 1.0"
2.手動(dòng)刪除文件
"%SystemRoot%\system32\AliveService.exe "
"%Temp%\aebwg.exe(文件名隨機(jī))"
"%Temp%\PPTufwve.exe(文件名隨機(jī))"
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)�����,通常為"C:\"
%SystemRoot% WINDODWS所在目錄�����,通常為"C:\Windows"
%Documents and Settings% 用戶文檔目錄,通常為"C:\Documents and Settings"
%Temp% 臨時(shí)文件夾�����,通常為"C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp"
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄�����,通常為:"C:\ProgramFiles"
病毒分析:
1.判斷注冊(cè)表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Test My Test 1.0"是否存在�����,不存在則執(zhí)行步驟�����。
2.獲取系統(tǒng)目錄�����,將自身拷貝重命名為"C:\WINDOWS\system32\AliveService.exe"�����。
3.連接服務(wù)控制管理器�����,創(chuàng)建名字為"Windows Test My Test 1.0"的服務(wù),顯示名稱為"Windows Test My Test Server 1.0"�����,啟動(dòng)類型為自動(dòng)�����,執(zhí)行映像指向"C:\WINDOWS\system32\AliveService.exe"�����,服務(wù)描述信息為"This is WindowsTest My Test Server 1.0."�����,之后啟動(dòng)此服務(wù)�����。
4.創(chuàng)建新進(jìn)程�����,執(zhí)行命令"C:\WINDOWS\system32\cmd.exe /c del 病毒主程序 > nul"�����,將病毒主程序刪除�����。
5.病毒服務(wù)"Windows Test My Test 1.0"啟動(dòng)之后�����,開(kāi)辟多線程:
(1)創(chuàng)建名字為"Windows Test My Test 1.0"的互斥對(duì)象�����,防止重復(fù)執(zhí)行�����。
(2)解密遠(yuǎn)程地址"vip1.**-shopping.com:8000"�����,創(chuàng)建網(wǎng)絡(luò)連接�����,連接到該主機(jī),獲取本地語(yǔ)言信息�����、操作系統(tǒng)版本信息等信息發(fā)送到遠(yuǎn)程主機(jī)�����,并接收控制命令�����,執(zhí)行其他惡意操作�����。
(3)惡意操作包括:接收病毒網(wǎng)址�����,下載病毒文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aebwg.exe(文件名隨機(jī))"�����、"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\PPTufwve.exe(文件名隨機(jī))"并隱藏執(zhí)行�����、解密其他主機(jī)地址�����,對(duì)其其發(fā)動(dòng)洪水攻擊�����、卸載自身服務(wù)等�����。
病毒創(chuàng)建文件:
"%SystemRoot%\system32\AliveService.exe "
"%Temp%\aebwg.exe(文件名隨機(jī))"
"%Temp%\PPTufwve.exe(文件名隨機(jī))"
病毒刪除文件:
病毒主程序
病毒訪問(wèn)網(wǎng)絡(luò):
"vip1.**-shopping.com:8000"
關(guān)鍵詞標(biāo)簽:后門程序,解決方案
相關(guān)閱讀
熱門文章
![發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除]()
發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
![殺毒36計(jì)之手動(dòng)清除PcShare木馬_PcShare木馬清除方法]()
殺毒36計(jì)之手動(dòng)清除PcShare木馬_PcShare木馬清除方法
![注冊(cè)表被修改的原因及解決辦法]()
注冊(cè)表被修改的原因及解決辦法
![卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key]()
卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key
人氣排行
卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活)
解決alexa.exe自動(dòng)彈出網(wǎng)頁(yè)病毒
卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key
comine.exe 病毒清除方法
ekrn.exe占用CPU 100%的解決方案
木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案
發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
一招搞定幾萬(wàn)種木馬----→ 注冊(cè)表權(quán)限設(shè)置
