[病毒预警] Backdoor.Win32.Autocrat.b分析报告及解决方案瀚海算经 [电脑技术]——瓜州都督府帖子浏览西域都护府论坛西域文化网

西域都护府论坛 - 河西归义军府 [信息服务版块] 河西归义军节度使：招募中…… - 瀚海算经 [电脑技术]——瓜州都督府 - 帖子浏览 - [病毒预警] Backdoor.Win32.Autocrat.b分析报告及解决方案

本站赞助商本站广告为支持网站的发展

您是本贴第 217 位浏览者

帖子浏览: [病毒预警] Backdoor.Win32.Autocrat.b分析报告及解决方案

风清扬

组别: 都督
勋章:
发贴: 535 贴
货币: 15 腾格
积分: 6686 分
经验: 6798 点
体力: 4774 点
注册: 2007-02-02
来自: 乌鲁木齐市

浏览“风清扬”的博客

[病毒预警] Backdoor.Win32.Autocrat.b分析报告及解决方案

一、    病毒标签：

病毒名称： Backdoor.Win32.Autocrat.b
病毒类型：后门类
文件 MD5： 4262A8B52B902AA2E6BF02A156D1B8D4
公开范围：完全公开
危害等级： 4
文件长度： 102,912 字节
感染系统： windows 98以上版本
加壳类型： PECompact 1.4x or above

二、病毒描述：

该病毒为后门类，病毒运行后，复制自身到系统目录下，重命名为wupdmgr32.exe ，衍生病毒文件，并删除自身；病毒运行完后强制重起操作系统。创建服务，并以服务的方式达到随机启动的目的。修改注册表中bat,com,exe,scr文件关联项。该病毒是远程控制程序的受控端，具有自动寻找控制端的功能，与控制端连接成功后，可以对用户电脑进行远程控制。

三、行为分析：

1、病毒运行后释放文件：
%system32%\srvsupp.exe
%system32%\wsock32l.dll
%system32%\wsock32p.dll
%system32%\wsock32s.dll
%system32%\wupdmgr32.exe

2、修改注册表中bat,com,exe,scr文件关联项：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\DefaultIcon\@
新: 字符串: "%1"
旧: "%SystemRoot%\System32\shell32.dll,-153. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\DefaultIcon\@
新: 字符串: "%1"
旧: 字符串: "%SystemRoot%\System32\shell32.dll,2. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" /S"

3、创建服务Service Support和 Microsoft Windows Update Service，以服务的方式达到随机启动的目的：

服务名称：             Service Support
显示名称：             Service Support
描述：                Windows Service Support
可执行文件的路径：    C:\WINDOWS\system32\srvsupp.exe
启动方式：            自动

服务名称：              Service Support
显示名称：             Microsoft Windows Update Service
描述：                 Microsoft(R) Windows Update
可执行文件的路径：     C:\WINDOWS\system32\wupdmgr32.exe
启动方式：             自动

4、主动连接网络，下载相关病毒文件:
协议：TCP　
地址：asp.7i24.com(61.145.112.39)
端口：80　
进程：wupdmgr32.exe

5、srvsupp.exe进程连接网络，等待病毒服务端连接,连接成功后中毒机器会受到远程控制。


注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。


四、清除方案：
1、使用安天木马防线可彻底清除此病毒
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具）
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

(2) 强行删除病毒文件（可用冰刃强行删除）
%system32%\srvsupp.exe
%system32%\wsock32l.dll
%system32%\wsock32p.dll
%system32%\wsock32s.dll
%system32%\wupdmgr32.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\DefaultIcon\@
新: 字符串: "%1"
旧: "%SystemRoot%\System32\shell32.dll,-153. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\DefaultIcon\@
新: 字符串: "%1"
旧: 字符串: "%SystemRoot%\System32\shell32.dll,2. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" %*"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
旧: 字符串: ""%1" /S"

  (4) 禁用服务Service Support和 Microsoft Windows Update Service