伪装微点和迅雷病毒后门D:\Micropoin\Thunder.exe

2010年12月19日 软件技术 暂无评论 阅读 2,940 次

今天很幸运,抓到一个很厉害的后门程序,过了我的ESS,金山卫士,通过在线扫描过了很多杀毒软件,卡巴斯基报了Backdoor.Win32.Xyligan.bzz,网络真是太不安全了,正规网站下载的软件也会被放入后门程序,该后门通过注册表加载启动,路径:D:\Micropoin\Thunder.exe,Micropoin是伪装微点文件夹,但是少了一个t,微点正常目录为Micropoint,主程序Thunder.exe伪装为迅雷主程序,加载启动方式通过注册表实现,其中D:\Micropoin\已经被设置为开机启动目录,放入任何程序到这个目录都会自动添加开机启动项。涉及多个键值,列举几个如下:
[HKEY_CLASSES_ROOT\ini\DefaultIcon]
@="D:\\Micropoin\\Thunder.exe,0"
[HKEY_CLASSES_ROOT\ini\Shell\Open\Command]
@="\"D:\\Micropoin\\Thunder.exe\" \"%1\""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
解决方法:
删除D:\Micropoin\Thunder.exe程序后,删除注册表相关启动键值。

评论已关闭!