病毒標籤:
病毒名稱: Backdoor.Win32.Rbot.bms病毒類型: 後門
檔案MD5: D66206EF89BD6CAF3EEAAD830539368A
公開範圍: 完全公開
危害等級: 3
檔案長度: 83,456 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: NSPack
WWPack32
命名對照: 驅逐艦[win32.hllw.mybot]
BitDefender [Generic.Sdbot.258F9724]
病毒描述
該病毒屬後門類,病毒運行後衍生病毒檔案到系統目錄%WINDIR%,並在系統根目錄和臨時資料夾temp下分別建立a.bat和1.reg檔案,在自動運行後刪除自身,修改註冊表,添加啟動項,以達到隨機啟動的目的,終止DOCM格式的檔案打開,該病毒可遠程控制用戶機器,進行修改、刪除檔案,傳送等操作。行為分析:
1、病毒運行後衍生病毒檔案:
%WINDOWS%\wkssr.exe
%WINDOWS%\kb914389.log
系統盤根目錄\a.bat(自動刪除)
%temp%\1.reb(自動刪除)
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunServices\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
鍵值: 字串: "EnableRemoteConnect "="N"
修改註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建鍵值: 字串: "EnableDCOM "="N"
原鍵值: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\
新建鍵值: 字串: "TransportBindName "=""
原鍵值: 字串: "TransportBindName "="\Device\"
4、終止DOCM格式的檔案打開:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建鍵值: 字串: "EnableDCOM "="N"
原鍵值: 字串: "EnableDCOM "="Y"
5、該病毒可遠程控制用戶機器,進行修改、刪除檔案,傳送等操作。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%WINDOWS%\wkssr.exe
%WINDOWS%\kb914389.log
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunServices\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\
鍵值: 字串: "Microsoft dll Host Service "="wkssr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
鍵值: 字串: "EnableRemoteConnect "="N"
修改註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\
新建鍵值: 字串: "EnableDCOM "="N"
原鍵值: 字串: "EnableDCOM "="Y"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\
新建鍵值: 字串: "TransportBindName "=""
原鍵值: 字串: "TransportBindName "="\Device\"
