病毒簡介
病毒名稱: Backdoor.Win32.Way.20病毒類型: 後門
檔案 MD5: D5000921C009743121900970CB8EA4E6
公開範圍: 完全公開
危害等級: 中
檔案長度: 202,752 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 4.0 - 5.0
加殼類型: AsPack 1.07b
命名對照: Symentec[BackDoor.Way]
Mcafee[BackDoor-so]
病毒描述:
該病毒屬後門類,病毒運行後,釋放病毒檔案%system32%\msgsvc.exe,修改註冊表,添加啟動項,以達到隨機啟動的目的,病毒偽裝成txt檔案圖示,用以誘惑用戶點擊運行,在進程管理器中病毒隱藏進程,用戶運行病毒後,病毒作者就可以對用戶進行遠程控制,從而獲取用戶敏感信息和重要檔案等。該病毒對用戶有一定的危害。
行為分析:
1、病毒運行後,釋放病毒檔案:
%system32%\msgsvc.exe
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
鍵值: 字串: "Msgtask "="C:\WINDOWS\system32\msgsvc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam
\MUICache\
鍵值: 字串: "病毒所在路徑\msgsvc.exe"="msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
鍵值: 字串: "原病毒路徑"="原病毒路徑:*:Enabled:原病毒檔案名稱"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
鍵值: 字串: "病毒所在路徑"="病毒所在路徑\msgsvc.exe:*:Enabled:msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List\
鍵值: 字串: "原病毒路徑"="原病毒路徑:*:Enabled:原病毒檔案名稱"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
鍵值: 字串: "病毒所在路徑"="病毒所在路徑\msgsvc.exe:*:Enabled:msgsvc"
3、病毒偽裝成txt檔案圖示,用以誘惑用戶點擊運行。
4、用戶運行病毒後,病毒作者就可以對用戶進行遠程控制,從而獲取用戶敏感信息和重要檔案等。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\msgsvc.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
鍵值: 字串: "Msgtask "="C:\WINDOWS
\system32\msgsvc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
鍵值: 字串: "病毒所在路徑\msgsvc.exe"="msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\AuthorizedApplications\List\
鍵值: 字串: "原病毒路徑"="原病毒路徑:*:Enabled:原病毒檔案名稱"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
鍵值: 字串: "病毒所在路徑"="病毒所在路徑\msgsvc.exe:*:Enabled:msgsvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
鍵值: 字串: "原病毒路徑"="原病毒路徑:*:Enabled:原病毒檔案名稱"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\
鍵值: 字串: "病毒所在路徑"="病毒所在路徑\msgsvc.exe:*:Enabled:msgsvc"
