| 引用: |
【sidy的贴子】Backdoor.Bifrose.ch
用瑞星清除掉后,下次开机有来了,大家说怎么样册底的干掉它
路径是C:\Program Files\Internet Explorer目录下的iexplore.exe文件
该杂办
........................... |
后门Bifrose变种感染系统记录(XP系统):
1、在C:\windows\system32\下创建两个病毒文件:iexplorer.exe和plugin1.dat
2、注册表修改:
(1)在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run分支下添加键值"iexplorer"="C:\\windows\\system32\\iexplorer.exe"
(2)在HKEY_CURRENT_USER\Software\Wget分支添加"klg"=hex:01
(3)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\下添加{9B71D88C-C598-4935-C5D1-43AA4DB90836}项,键值为"stubpath"=c:\windows\system32\iexplorer.exe s
(4)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支添加键值"iexplorer"="C:\\windows\\system32\\iexplorer.exe"
(5)在HKEY_LOCAL_MACHINE\SOFTWARE\Wget分支添加"nck"=hex:73,d9,e4,d8,57,32,2d,60,b4,3c,2a,5e,33,34,72,00,a3,78,26,35,57,\
32,2d,60,b4,3c,2a,5e,33,34,72,00
Bifrose变种的查杀毒方法:
结束木马进程iexplorer.exe。删除C:\windows\system32\下的iexplorer.exe和plugin1.dat。删除木马添加的注册表键值。
注:这个样本iexplorer.exe由“小猪芭芘”网友提供。原帖在http://forum.ikaka.com/topic.asp?board=28&artid=6930309
