木马Backdoor.Win32.VanBot.az分析与清除

    病毒名称： Backdoor.Win32.VanBot.az

    病毒类型： 后门类

    文件 MD5： FF3F7F7A8E4808FCDD64D25B6B729DBB

    公开范围： 完全公开

    危害等级： 4

    文件长度： 99，840 字节

    感染系统： windows 98以上版本

    加壳类型： 未知壳

    二、 病毒描述：

    该病毒为后门类，病毒运行后复制自身到系统目录：%System32%\spooIsv.exe，使用bat批处理删除原文件。 修改注册表，添加启动项，以达到随机启动的目的。尝试连接MSN Messenger地址和访问相关网站下载其它恶意程序。通过恶意网站、其它病毒/木马下载传播；该病毒可以使用户电脑接受远程服务端控制。

    三、 行为分析：

    1、病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身：

    %System32%\spooIsv.exe

    2、修改注册表，添加启动项，以达到随机启动的目的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值： 字串： "Spooler SubSystem App" = "C：\WINDOWS\system32\spooIsv.exe"

    3、下载病毒文件：

    协议：                TCP

    地址：         www.nad0nad.com（72.10.167.74）

    端口：                80

    进程：                spooIsv.exe

    下载病毒文件：        %System32%\tubrvma.exe

    4、尝试连接MSN Messenger地址：

    协议：TCP

    地址：67.43.232.108

    端口：1863

    进程：spooIsv.exe

    5、该病毒可以使用户电脑接受远程服务端控制

    注释：

    %Windir%                      WINDODWS所在目录

    %DriveLetter%                逻辑驱动器根目录

    %ProgramFiles%                系统程序默认安装目录

    %HomeDrive%                  当前启动系统所在分区

    %Documents and Settings%    当前用户文档根目录

    %Temp%                        当前用户TEMP缓存变量；路径为：

    %Documents and Settings%\当前用户\Local Settings\Temp

    %System32%                    是一个可变路径；

    病毒通过查询操作系统来决定当前System32文件夹的位置；

    Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

    Windows95/98/Me中默认的安装路径是　C：\Windows\System；

    WindowsXP中默认的安装路径是　C：\Windows\System32.

    四、 清除方案：

    1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com .

    2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm .

    （1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

    （2） 强行删除病毒文件

    %System32%\spooIsv.exe

    %System32%\tubrvma.exe

    （3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    键值： 字串： "Spooler SubSystem App" = "C：\WINDOWS\system32\spooIsv.exe"