一、病毒标签:
病毒名称: Backdoor.Win32.VanBot.az
病毒类型: 后门类
文件 MD5: FF3F7F7A8E4808FCDD64D25B6B729DBB
公开范围: 完全公开
危害等级: 4
文件长度: 99,840 字节
感染系统: windows 98以上版本
加壳类型: 未知壳
二、 病毒描述:
该病毒为后门类,病毒运行后复制自身到系统目录:%System32%\spooIsv.exe,使用bat批处理删除原文件。 修改注册表,添加启动项,以达到随机启动的目的。尝试连接MSN Messenger地址和访问相关网站下载其它恶意程序。通过恶意网站、其它病毒/木马下载传播;该病毒可以使用户电脑接受远程服务端控制。
三、 行为分析:
1、病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身:
%System32%\spooIsv.exe
2、修改注册表,添加启动项,以达到随机启动的目的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值: 字串: "Spooler SubSystem App" = "C:\WINDOWS\system32\spooIsv.exe"
3、下载病毒文件:
协议: TCP
地址: www.nad0nad.com(72.10.167.74)
端口: 80
进程: spooIsv.exe
下载病毒文件: %System32%\tubrvma.exe
4、尝试连接MSN Messenger地址:
协议:TCP
地址:67.43.232.108
端口:1863
进程:spooIsv.exe
5、该病毒可以使用户电脑接受远程服务端控制
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32.
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com .
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm .
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
%System32%\spooIsv.exe
%System32%\tubrvma.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: "Spooler SubSystem App" = "C:\WINDOWS\system32\spooIsv.exe"
