神马品牌网中国某公司向欧洲出口:ntsys.exe 病毒 如何杀!
来源:百度文库 编辑:神马品牌网 时间:2024/05/03 23:18:03
病毒Backdoor.IRC.Cloner.k分析报告
Backdoor.IRC.Cloner.k是依托于mIRC程序,利用mIRC强大的脚本功能进行攻击和访问控制的后门程序。整个后门程序由多个部分组成:
1 病毒利用程序。包括kill.exe,psexec.exe,adobea.exe,attrib.exe,ntsys.exe。
2 病毒核心程序。包括adobes.exe,abc2.dll,abcd.jpg,abc.bat,ntdll.bat。
3 其他病毒生成文件和相关配置文件。
一 病毒利用程序
kill.exe (以进程号做参数结束进程的工具)
psexec.exe (远程进程序启动工具)
adobea.exe (mIRC主程序)
attrib.exe (设置文件属性的程序)
ntsys.exe (隐藏窗口的程序)
二 病毒核心程序
adobes.exe(隐藏程序)(病毒名称是Backdoor.mIRC-based)
为一个Visual Basic编写的程序,该程序的作用为启动adobea.exe(即mirc程序)并把该程序的窗口设成隐藏。以便让mirc程序启动时不被用户发觉。该程序被加入到注册表run项中,系统启动时自动加载(加入注册表的部分在病毒脚本中)。
abc2.dll (配置文件)
mirc的配置文件,这个配置文件为病毒作者设计的,主要是把mirc的window等设成隐藏方式。并设一个执行脚本:文件名为abcd.jpg。
abcd.jpg(服务器脚本) ***后门实体*** (病毒名称是Backdoor.IRC.Cloner.k)
病毒的主体部分,该脚本实现的功能非常之多,它把mirc变成“功能强大”的服务器,可以实现端口扫描,文件服务器,邮件炸弹,Flood 攻击,UDP攻击,ICQ页面炸弹,局域网文件传染,局域网消息炸弹等多种攻击方式,把当前系统变成一个攻击服务器。
abc.bat (功能脚本) (可作传染部分) (病毒名称是Backdoor.IRC.Cloner.k.bat)
尝试利用ipc通讯和指定系统连接。这里将尝试几个简单的密码连接。如果连接成功,将把shell32core.exe 复制到目标系统上并启动它。
ntdll.bat (功能脚本)
删除本地系统的所有共享资源。
三 其他病毒生成文件和相关配置文件
病毒根据扫描结果会生成一些配置文件来记录扫描结构信息。
中了病毒或者木马不要着急,我来帮你:
一般杀毒都是这样的几个步骤,按我说的操作来吧:
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html