病毒屬性
病毒名稱: Backdoor.Win32.VB.gu中文名稱: 無
病毒類型: 後門
檔案 MD5: 6850F872CF6F9CDA980C797F8DD529E7
公開範圍: 完全公開
危害等級: 中
檔案長度:43,520 位元組
感染系統: windows 98 及以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: 無
命名對照:Symentec[Backdoor.Himba]
Mcafee[Generic BackDoor.b]
病毒描述:
該病毒屬後門類,病毒運行後複製自身到%System%ntvcc.exe目錄,修改註冊表檔案,達到隨系統啟動的目的,病毒運行後還會隨機開啟本地tcp連線埠,等待惡意者的連線。並接受惡意指令,如:刪除、下載、上傳等。該病毒對用戶有一定的危害。
行為分析:
1、複製原病毒體到:
%System%ntvcc.exe
2、修改註冊表檔案,達到隨系統啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串:MSN = "ntvcc.exe"
3、隨機開啟本地TCP連線埠,等待惡意者的連線,並接受惡意指令,如:刪除、下載、上傳等。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案:%System%ntvcc.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串:MSN = "ntvcc.exe"
