基本信息
病毒名稱: Backdoor.win32.GrayBird.lc病毒類型: 後門類
檔案 MD5: 8D935CC1DD1EAA334C97A0F8DD7A1A21
公開範圍: 完全公開
危害等級: 中等
檔案長度: 782,336位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
命名對照: Symentec[無]
Mcafee[New Malwera.W]
病毒描述
該病毒屬於後門類。病毒運行後刪除自身。並衍生檔案ntserver.exe到%windir%下。之後修改註冊表,並添加名為ntserver系統服務。當用戶運行此病毒,就會被病毒的利用者完全控制電腦。行為分析
1、該病毒運行後釋放病毒檔案:%windir%\ntserver.exe
2、新建註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_NTSERVER.EXE\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_NTSERVER.EXE\0000\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_NTSERVER.EXE\0000\Class
鍵值: 字元串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_NTSERVER.EXE\0000\Control\ActiveService
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_NTSERVER.EXE\0000\DeviceDesc
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_NTSERVER.EXE\0000\Service
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Description
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\DisplayName
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Enum\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe
t\Services\NtServer.exe\Enum\0
鍵值: 字元串: "Root\LEGACY_NTSERVER.EXE\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\NtServer.exe\ObjectName
鍵值: 字元串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Start
鍵值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtServer.exe\Type
鍵值: DWORD: 272 (0x110)
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%windir%\ntserver.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_NTSERVER.EXE\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_NTSERVER.EXE\0000\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_NTSERVER.EXE\0000\Class
鍵值: 字元串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_NTSERVER.EXE\0000\Control\ActiveService
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_NTSERVER.EXE\0000\DeviceDesc
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_NTSERVER.EXE\0000\Service
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Description
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\DisplayName
鍵值: 字元串: "NtServer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Enum\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Enum\0
鍵值: 字元串: "Root\LEGACY_NTSERVER.EXE\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\ObjectName
鍵值: 字元串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Start
鍵值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NtServer.exe\Type
鍵值: DWORD: 272 (0x110)
