千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

路由交换
收藏本版 (7) |订阅

路由交换 今日: 3703 |主题: 18312|排名: 28 

发新帖
打印 上一主题 下一主题

[转帖]警惕后门病毒潜入用户机...

[复制链接]
h24arj 发布于: 2006-10-12 14:15 431 次浏览 0 位用户参与讨论
跳转到指定楼层

转帖:警惕后门病毒潜入用户机
   
     Backdoor.Win32.FireFly.a病毒属后门类,病毒图标为压缩文件zip图标,病毒文件使用UPX绑定一个jpg图片和病毒体qqq.exe。病毒运行后解压jpg图片和病毒体qqq.exe并自动运行病毒体qqq.exe,qqq.exe生成一个批处理器文件,删除本身及病毒体qqq.exe。病毒体qqq.exe运行后衍生病毒文件,修改注册表,新建服务FireFly,用以开机自启动病毒。该病毒可远程控制用户计算机,可执行上传、下载、删除文件、截取用户桌面等操作。

清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%\FireFly\WinDeBug.exe
%Program Files%\FireFly\FireFlyInfo.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\
值: 字符串: "C:\Program Files\FireFly\WinDeBug.exe"=inDeBug"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FIREFLY\0000\
值: 字符串: "Service"=FireFly"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FireFly\
值: 字符串: "ImagePath"="C:\Program Files\FireFly\WinDeBug.exe."

相关参考链接: http://www.antiy.com/security/report/20061011.htm

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城