backdoor是什么病毒?有什么破坏力?为什么我每次杀毒都会杀出这个病毒?
Backdoor是后门病毒,后门病毒的前缀是:Backdoor。
后门病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。
网络病毒指 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
后门木马病毒的一种,例如:Backdoor/G_Door.aa“冰河”变种aa是一个木马程序,隐藏在被感染计算机上,侦听黑客指令,下载特定文件。“冰河”变种aa运行后,自我复制到Windows目录下,文件名是system32.exe。修改注册表,实现Windows 95/98操作系统的开机自启。以system32为名作为服务项注册,实现Win XP/NT/2003操作系统的开机自启。在临时文件夹内创建两个病毒文件。开启隐藏的IE浏览器窗口,连接黑客指定站点,盗取用户机密信息或下载其它应用程序。另外,“冰河”变种aa开启rootkit(rootkit是一个完全控制用户计算机并可隐藏自身的黑客工具)隐藏自我,防止被查杀。直接用杀毒软件查杀或者用专杀进行查杀
病毒名称:Backdoor.Win32.IRCBot.st病毒类型:后门
危害等级:B+
文件长度:9,609 字节
文件MD5:9928a1e6601cf00d0b7826d13fb556f0
公开范围:完全公开
感染系统:Win9x以上所有版本
开发工具:Microsoft Visual C++ 6.0
加壳类型:MEW
病毒描述:
近日来,一种新的BOT蠕虫现身网络,该病毒会利用微软MS06-040高危漏洞进行传播。目前已经有多个变种。修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性.
行为分析:
1、病毒运行后会复制自身到以下地址
%SYSTEM32%\wgareg.exe
2、在 %Windir%\Debug下释放一个DCPROMO.LOG文件
3、病毒在运行一段时间后会下载一个nrcs.exe(Trojan-Proxy.Win32.Ranky.fv)文件
4、连接IRC地址:bniu.househot.com(58.81.137.157:18067)
port:18067 频道名:#n1 密码:nert4mp1 频道名:#p 密码:无
此域名为动态域名以下是对应的IRC IP列表
IRC IP 61.189.243.240:18067
IRC IP 61.163.231.115:18067
IRC IP 58.81.137.157:18067
IRC IP 222.68.249.164:18067
IRC IP 218.61.146.86:18067
IRC IP 211.154.135.30:18067
IRC IP 202.121.199.200:18067
5、连接服务器的域名:media.pixpond.com(38.119.88.27:80)美国
port:80
下载http://media.pixpond.com/l9rd6g.jpg 拷到本地。重命名文件nrcs.exe
6、创建一个服务
服务名称:Windows Genuine Advantage Registration Service
描述:wgaregEnsures that your copy of Microsoft Windows is genuine and registered.Stopping or disabling this service will result in system instability.
映像路径
c:\windows\system32\wgareg.exe
7、修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = dword:00000001
AntiVirusDisableNotify = dword:00000001
FirewallDisableNotify = dword:00000001
AntiVirusOverride = dword:00000001
FirewallOverride = dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\lanmanserver\parameters
AutoShareWks = dword:00000000
AutoShareServer = dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service s\wgareg\Type=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Start=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ErrorControl=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ImagePath=C:\WINDOWS
\system32\wgareg.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\DisplayName=Windows Genuine Advant
创建服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\DisplayName=Windows Genuine Advantage Registration Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Security\Security=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\ObjectName=LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\FailureActions=Binary
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\wgareg\Description=Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
新键值: 字符串: "N"
原键值: 字符串: "Y"
8、连接到一个IRC服务器,等待恶意者的连接并接受控制,命令说明如下:
IRC命令如:
join 创建或加入闲聊室
Nick 更改别名
QUIT 退出
对目标主机的操作:
下载文件
发起拒绝服务(DDOS)攻击
执行基本的RIC命令
执行系统扫描
9、采用TCP协议,按照31个IP更换一次IP段的方式,扫描系统。
例如:
222.171.159.0
.
.
222.171.159.31
接着扫描
222.4.159.0
.
.
222.4.159.31
然后再扫描
222.171.159.32
.
.
222.171.159.63
接着扫描
222.4.159.32
222.171.159.254
1038
1069
1070
1101
1104
1135
1136
1518 445
445
445
445
445
445
445
445
--------------------------------------------------------------------------------
清除方案 :
临时解决方案:
1、防火墙处阻止TCP端口:139、445
2、启用TCP/IP筛选功能进行过滤。
如何屏蔽139和445端口
屏蔽139和445端口方法:
一、右击网上邻居选择属性
二、右击本地连接选择属性如图
三、选择internet协议(Tcp/ip)
四、点击高级选择选项
五、选择属性
1、P选项中选择只允许如图
2、选择完之后把本机所需要用的端口添加到上
如本机有ftp和http那么就添加21端口和80端口
选择添加把21和80端口添加进去
如果本机还有其它端口要开可以继续添加
3、使用IPSec来阻止受影响的端口访问。
补丁下载:
中文Windows 2000 Service Pack 4:
http://download.microsoft.com/download/f/2/f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE
中文Windows XP Service Pack 1 & Service Pack 2:
http://download.microsoft.com/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe
中文Windows Server 2003 & Service Pack 1:
http://download.microsoft.com/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe
Windows XP Professional x64 Edition:
顾名思义就是后门病毒,给予黑客通入电脑的不正当途径。快打补丁吧。
这个病毒叫“后门”,蛮厉害的,有很多变种。多杀几次就好了
那有残留,杀不干净,建意你用别的杀毒软件
我的电脑染了ackdoor.PcClient.kd!!!
毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸 或安全之星XP,它们在查杀木马方面很有一套!由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:1.)检查注册表 看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和 HKEY_CURRENT_US...
请电脑高手解答,此进程是干什么的?
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是ackdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除。另外spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转。停止方法:Ctrl+Alt+Delete(或任务管理器XP)...
天网防火墙总显示这个信息是什么意思?
把系统的自动更新打开,安装优秀的杀毒软件比如卡巴斯基互联网安全套装,把 windows防火墙打开,若杀毒软件自带防火墙那就任意选择一个。如果你嫌天网那些拦截纪录心烦,那你把它的日子记录关闭就可以了。那些日子记录不用太在意,个人觉得这是天网有点太敏感了就是那些IP试图入侵你的ack Door Setup[5001]端口...
天网防火墙"61.151.248.196试图连接本机的ack Door Setup[5001]端口TCP...
“61.151.248.196”妄图入侵你的ack Door Setup[5001]端口TCP标志:S,被你的防火墙挡住了。
谁帮我看看是不是有人在攻击我的电脑啊~!天网的信息
我的防火墙也总截获这些东西,大部分是某些hack在大范围扫描(成千上万的计算机)的开放端口和漏洞什么的。不要紧,既然装了防火墙和杀毒软件就不用怕。
灰鸽子吗?怎么清除。。。
Anti-Spyware 7.5.1.43 http:\/\/www.tmxy.net\/qt\/avg.htm 他的数据库中的特征码数量是1062159 2.Windows清理助手 http:\/\/www.tmxy.net\/xt\/arswp.htm 3.a-squared Free V3.0 中文版 http:\/\/www.tmxy.net\/qt\/a-squared.htm 可以查杀1214763种木马、后门、蠕虫、拨号器、间谍软件和广告...
请问:Backdoor.Delf.ack是什么病毒,怎样清除
病毒名称:Backdoor.Delf 发现日期:2002-08-05 病毒类型:木马病毒 传播范围:低 危害级别:高 传播速度:低 病毒介绍:Backdoor.Delf是一个木马病毒。它与其他木马病毒的区别之处就是它能够终止一些防火墙检测程序,使其在通过防火墙的安全检测时可以顺利、非法的感染到被感染的计算机上。并且此种病毒...
关于FTP与5001端口的问题
端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口:5000、5001、5321、50505 服务:[NULL]说明:木马blazer5...
势廖申优: 后门木马病毒的一种,例如:Backdoor/G_Door.aa“冰河”变种aa是一个木马程序,隐藏在被感染计算机上,侦听黑客指令,下载特定文件.“冰河”变种aa运行后,自我复制到Windows目录下,文件名是system32.exe.修改注册表,实现...
渭滨区17098151473: Trojan这种是什么病毒?有何危害??
势廖申优: 一、该病毒特性: 特洛伊木马 病毒名称:Backdoor.Sazo 发现日期:2002-06-17 别名:Backdoor.Trojan 病毒类型:特洛伊木马 感染长度:44K 危害级别:...
渭滨区17098151473: 后门病毒是什么? 有什么危险 - ?
势廖申优: 后门病毒的前缀是:Backdoor.该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患.2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失.由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.
渭滨区17098151473: backdoor是一种什么病毒??
势廖申优: 病毒名称:Backdoor.Win32.IRCBot.st 病毒类型:后门 危害等级:B+ 文件长度:9,609 字节 文件MD5:9928a1e6601cf00d0b7826d13fb556f0 公开范围:完全公开 感染系统:Win9x以上所有版本 开发工具:Microsoft Visual C++ 6.0 加壳类型:MEW 病毒描述: 近日来,一种新的BOT蠕虫现身网络,该病毒会利用微软MS06-040高危漏洞进行传播.目前已经有多个变种.修改多处注册表键,用以关闭杀毒软件、防火墙降低系统安全性. 自己上这看吧 http://zhidao.baidu.com/question/20683440.html?si=1
渭滨区17098151473: 想了解一下这个病毒Backdoor.Win32.Agent.zps?
势廖申优: 1.网上找不到这个病毒的更多信息.但是一看名字,backdoor就是后门的意思,也就是灰鸽子一类的后门程序.Agent就是代理的意思,可能病毒会破坏浏览器代理功能,或者利用它. 2.这类病毒基本是上网时浏览不良网页中的. 3.既然杀不掉,那么...
渭滨区17098151473: 我想问问backdoor是什么病毒,应该怎么清楚?谢谢各位我得电 ?
势廖申优: Backdoor 顾名思义就知道是 后门 程序,专门为别人通过网络窃取你的资料所服务.现在大多用于窃取帐号密码 rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具 trojan也是木马类的病毒 这三个都不是好东东.好好杀一下吧
渭滨区17098151473: backdoor电脑病毒是什么,怎么杀掉 - ?
势廖申优: 木马病毒首先重启电脑,进入安全模式运行电脑,再启动你的杀毒软件扫描一遍就可以了.安全模式:启动的时候按住 F8 键,出现选择的时候 选“进入安全模式”
渭滨区17098151473: backdoor是什么病毒我电脑上有代号为backdoor的病毒 ?
势廖申优: 这是臭名昭著的后门病毒,把你的计算机中的详细不停的向外发送.对计算机安全有很大的危害.同时造成网络阻塞,浏览器速度极慢.不过比较容易杀除.下载最新的病毒库文件升级杀毒即可.
渭滨区17098151473: Backdoor.Php.Small.F 是什么病毒 - ?
势廖申优: 是灰鸽子木马变种,后台远程控制程序,可通过网络疯狂传播,可以用专杀软件,它对系统有很大破坏.
渭滨区17098151473: backdoor.Gpigeon.kfj是什么病毒,有什么危害是 怎么传播的,如何删除 - ?
势廖申优: 病毒分类 普通文件病毒 病毒名称 Backdoor.Gpigeon.kfj 瑞 星 版 本 号 18.53.41
