病毒簡介
病毒名稱: Backdoor.Win32.FireFly.a病毒類型: 後門
檔案 MD5: 31D322EA5F0405CE9B1E1F28E3D67F0B
公開範圍: 完全公開
危害等級: 中
檔案長度: 1,857,299 位元組
感染系統: windows 98以上版本
開發工具: Borland Delphi 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
命名對照: Symentec[]
Mcafee[]
病毒描述
該病毒屬後門類,病毒圖示為壓縮檔案zip圖示,病毒檔案使用UPX綁定一個jpg圖片和病毒體qqq.exe。病毒運行後解壓jpg圖片和病毒體qqq.exe並自動運行病毒體qqq.exe,qqq.exe生成一個批處理器檔案,刪除本身及病毒體qqq.exe。病毒體qqq.exe運行後衍生病毒檔案,修改註冊表,新建服務FireFly,用以開機自啟動病毒。該病毒可遠程控制用戶計算機,可執行上傳、下載、刪除檔案、截取用戶桌面等操作。行為分析
1、病毒運行後解壓jpg圖片和病毒體qqq.exe並自動運行病毒體qqq.exe,qqq.exe生成一個批處理器檔案,刪除本身及病毒體qqq.exe2、病毒運行後在所在目錄解壓一個jpg圖片和病毒體,並自動運行病毒體,衍生病毒檔案到%Program Files%\FireFly:
%Program Files%\FireFly\WinDeBug.exe
%Program Files%\FireFly\FireFlyInfo.ini
3、修改註冊表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\
值: 字元串: "C:\Program Files\FireFly\WinDeBug.exe"=inDeBug"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FIREFLY\0000\
值: 字元串: "Service"=FireFly"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FireFly\
值: 字元串: "ImagePath"="C:\Program Files\FireFly\WinDeBug.exe."
4、新建服務FireFly,用以開機自啟動病毒:
服務名稱:FireFly
啟動類型:自動
執行檔路徑:C:\Program Files\FireFly\WinDeBug.exe
5、該病毒可遠程控制用戶計算機,可執行上傳、下載、刪除檔案、截取用戶桌面等操作。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%Program Files%\FireFly\WinDeBug.exe
%Program Files%\FireFly\FireFlyInfo.ini
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
值: 字元串: "C:\Program Files\FireFly
\WinDeBug.exe"=inDeBug"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_FIREFLY\0000\
值: 字元串: "Service"=FireFly"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\FireFly\
值: 字元串: "ImagePath"="C:\Program Files
\FireFly\WinDeBug.exe."
