返回列表 发帖

[病毒查杀] Backdoor.Tompai.b 病毒

aliases(别名):
backdoor.win32.tompai.b (kaspersky lab) is also known as:
w32/tombai.worm (mcafee)
backdoor.trojan (symantec)
backdoor.nightcraw (doctor web)
backdoor.win32/tompai.b (rav)
bkdr_tombai.b (trend micro)
worm/tombai.a (grisoft)
backdoor.tompai.b (softwin)
w32/legwidan.a.worm (panda)
win32/tompai.naa (eset)

破坏方法:
1、病毒启动后将自己安装到目录下
%windows%\system\ntdllf.exe,%windows%\system\mainsv.exe和%windows%\mapserver.exe,并且将自

己注册为服务进程在后台隐藏运行

2、在注册表中添加下列键值已达到自启动的目的:
hkey_local_machine\software\microsoft\windows\currentversion\run
"cmpnt"=%windows%\system\ntdllf.exe

hkey_current_user\software\microsoft\windows\currentversion\run
"ntcheck"=%windows%\mapserver.exe

hkey_local_machine\software\microsoft\windows\currentversion
\runservices "shell"=%windows%\system\mainsv.exe

hkey_current_user\software\microsoft\windows\currentversion\runonce
"cmpnt"=%windows%\system\mainsv.exe
3、病毒还会修改系统的注册表配置如下
hkey_current_user\software\microsoft\windows\currentversion
\explorer\advanced "hidefileext"=0x00000001
此项修改后,系统就会将已知的文件扩展名隐藏(0x00000000为显示)

hkey_current_user\software\microsoft\windows\currentversion
\explorer\advanced "hidden"=0x00000000
此项修改后,系统会不显示具有隐藏属性的文件(0x00000001为显示所有文件和文件夹)

hkey_current_user\software\microsoft\windows\currentversion
\explorer\advanced "showsuperhidden"=0x00000000(0x00000001为显示)
此项修改后,系统会不显示具有系统保护属性的文件,此病毒在系统中的文件就具有隐藏和系统保护的属

性。

4、病毒在后台运行,开一个tcp端口24007进行监听

5、此病毒会给远程客户端提供下列的控制功能
回去文件,目录列表
删除文件,
启动运行文件
建立目录
注销中毒计算机
重新系统中毒计算机,
关闭计算机
修改文件和目录的属性...等功能

建议到安全模式下对照清除注册表有关项,最后用瑞星自己的注册表清理工具修复一下,然后杀毒。


tombai.worm处理方法- - http://saturn2h.blogchina.com/3246151.html

这个病毒在国内好像很流行,通过移动介质传播,不过讨论得不多

病毒名称:backdoor.win32.tompai.b [kaspersky lab]
发现日期:不详
其他名称:w32/tombai.worm、win32/tompai.naa、w32/tompai.b、backdoor.nightcraw
相关技术分析:
1、文件大小为 65,204 字节,使用 upx加壳

2、修改注册表位置以保证自启动:
hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_local_machine\software\microsoft\windows\currentversion\runonce
hkey_local_machine\software\microsoft\windows\currentversion\runservices

3、感染硬件设备的根目录,包括移动设备(u盘、移动硬盘)
生成文件:autorun.inf 和 iexplores.exe,文件属性:隐藏、系统

4、在系统目录生成如下文件:以 windows xp 为例
windows\mapserver.exe
windows\system\mainsv.exe
windows\system\ptsnopt.exe

5、病毒激活后会自动、定时检测文件夹属性设置,如不符合以下设置,则更改为:
不显示隐藏文件和文件夹、隐藏已知文件类型扩展名、不显示受保护的操作系统文件
--------------------------------------------------------------------------------
清除方法:

1。关闭系统还原
2。进入保护模式用最新病毒库的mcafee查杀
3。查看任务管理器,看其中是否还有iexplores.exe在运行,注意区别iexplore和explore两个正常进程

,如有,终止该进程
4。在注册表项中查找
hkey_local_machine>software>microsoft>windows>currentversion>run
删除windows%\driver.com
hkey_local_machine>software>microsoft>windows>currentversion>runservices
删除system%\mainsv.exe
hkey_current_user>software>microsoft>windows>currentversion>run
删除windows%\mapserver.exe
hkey_current_user>software>microsoft>windows>currentversion>runonce
删除system%\mainsv.exe
删除hkey_current_user>software>vb and vba program settings>doom
5。重新启动系统。


关于设置隐藏文件无法显示

问题:
    文件设置为隐藏后又想将它显示出来好做修改,于是选择“工具→文件夹选项→查看→显示所有文件和文件夹”,点确定。本来应该就把隐藏的文件显示出来的,但是隐藏的文件并没有显示出来,重复上次操作发现“查看”中“隐藏文件和文件夹”一栏中它自动又跳为“不显示隐藏文件和文件夹”这让我很苦恼,因为我因此找不到我所有已经设置为隐藏的文件……

解决:
    运行regedit,找到[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall],将checkedvalue的值改为1

或将下面的内容复制到记事本,保存为reg的注册表信息文件,然后双击导入:

windows registry editor version 5.00

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"regpath"="software\\microsoft\\windows\\currentversion\\explorer\\advanced"
"text"="@shell32.dll,-30500"
"type"="radio"
"checkedvalue"=dword:00000001

说明:将选项 checkedvalue 的值改成 0 然后再将系统属性设置成不显示隐藏文件,这样,你隐藏的文件就彻底隐藏了,即使显示全部文件,你隐藏的文件也不会显示的。不仅如此,电脑里面所有隐藏文件将全部不被显示。如果需要显示,只要将选项 checkedvalue 的值改成 1 ,再将系统属性设置成显示全部文件即可。

问题:
    我使用的是windows2000系统,我把"文件夹选项"中的"查看"设为"不显示隐藏的文件和文件夹"时,电脑上隐藏的文件反而能看见,设为"显示所有文件和文件夹"时,这些文件反而隐藏了,这是怎么回事?

解决:
    在运行中输入regedit,打开注册表编辑器,定位到hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\nohidorsys,将checkedvalue设置为0;再定位到hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall,将checkedvalue设置为1即可。
欢迎光临:逐梦论坛

我的u盘上有个trojan.reper病毒,虽然杀了,但偶尔还会出现,不知为何物
我的签名太太太帅了,把老大都吓倒了,已至于都给我屏蔽了,唉,人帅、签名也帅,这个世界对我太不公平了@~@

TOP

下面引用由fox2828发表的内容:

我的u盘上有个trojan.reper病毒,虽然杀了,但偶尔还会出现,不知为何物

http://www.zhumeng.org/bbs/announce/announce.asp?boardid=603&id=11920
欢迎光临:逐梦论坛

TOP

返回列表

Powered by Discuz! 7.2   论坛QQ群:逐梦论坛群

© 2001-2021 Comsenz Inc. 鲁公网安备 37120302000001号