刚的【嗜血】 里面有 个
自己看 这个 毒 非常强大
ShangXing这个才是病毒的名字,Backdoor.Win32是前缀,是说病毒类型的,最后的.BJR是ShangXing病毒的一个变种。所以基本上是一样的。Backdoor.Win32.ShangXing.av 病毒名称: Backdoor.Win32.ShangXing.av
中文名称: 上兴远程控制V3.9
病毒类型: 后门类
文件 MD5: 80ED230F00C5D4F688EEA045AEC0A2A5
公开范围: 完全公开
危害等级: 严重
文件长度: 849,561 字节
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing
命名对照: 驱逐舰[Backdoor.Pegeon.421]
病毒描述:
该病毒运行后,需要用户生成客户端,当某人运行客户端后,就会成为受控制端。客户端运行后,会在%System32%释放两个文件,并会以线程的方式寄生到IEXPLOER.EXE进程中。之后生成一项服务,以便在开机后运行客户端。当用户感染此病毒后,会完全受控于病毒客户端。
行为分析:
1、释放下列副本与文件
%\program files\%common files\microsoft shared\msinfo\客户端名.exe
2、新建注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description键值: 字符串: "上兴远控服务端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName键值: 字符串: "Windows_客户端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节
%\program files\%common files\microsoft shared\msinfo\客户端名.exe
3、服务端插入IE线程,连接客户端。
客户端打开本地8080端口等待服务端连接。
4、客户端运行后会连接下列网址:
WWW.**exe.com
5、添加下列服务:
名称
Windows_客户端名
描述
上兴远控服务端
发行商
映象路径
%\program files\%common files\microsoft shared\msinfo\客户端名.exe
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
IEXPLORE.EXE
病毒同名进程
(2) 删除病毒文件
%\program files\%common files\microsoft shared\msinfo\客户端名.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\Description键值: 字符串: "上兴远控服务端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\DisplayName键值: 字符串: "Windows_客户端名"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Windows_rejoice\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 66 (0x42) 字节
%\program files\%common files\microsoft shared\msinfo\客户端名.exe
