病毒綜述
病毒名稱: Backdoor.Win32.Bifrose.uw
中文名稱: 禽獸
病毒類型: 後門類
檔案 MD5: 7857AE52C2F70197E9D8BD7E079FC496
公開範圍: 完全公開
危害等級: 中等
檔案長度: 51,904 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 6.0
加殼類型: FSG 1.33 -> dulek/xt [Overlay]
命名對照: 驅逐艦[Backdoor.Biforse]
Ewido[Backdoor.Biforse.dv]
病毒描述
該病毒為Backdoor.Win32.Bifrose.ti生成的服務端,能根據用戶要求,生成包括DNS伺服器、打開的遠程連線埠、C/S驗證口令、安裝目錄、啟動註冊表鍵值,是否注射進程等功能的服務端。該病毒運行後,衍生病毒副本到系統目錄%windwos%或%System32%下,添加註冊表啟動項,以便在系統啟動後運行,使受感染主機可能被運行有害程式。
行為分析:
1、根據用戶設定衍生下列副本與檔案
%system32%\病毒檔案名稱
%system32%\plugin1.dat
%Windir%\病毒檔案名稱
%Windir%\ plugin1.dat
2、新建註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\startkey
鍵值: 字元串: "病毒所在路徑\病毒檔案名稱"
3、插入IE進程連線下列地址:
IEXPLORE.EXETCP 本機名稱:1155***.16.252.112:2000SYN_SENT
IEXPLORE.EXETCP 本機名稱:1439***.12.88.98.:2000SYN_SENT
4、連線下列伺服器:
***ernet.net
www.**-ip.com
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
IEXPLORE.EXE
(2) 刪除病毒衍生檔案
%system32%\病毒檔案名稱
%system32%\plugin1.dat
%Windir%\病毒檔案名稱
%Windir%\ plugin1.dat
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\startkey
鍵值: 字元串: "病毒所在路徑\病毒檔案名稱"
