木马Backdoor.Win32.VanBot.dd分析与清除

　　一、病毒标签：

　　病毒名称： Backdoor.Win32.VanBot.dd

　　病毒类型： 后门类

　　文件 MD5： 8BBA78E7815AB525F8F61ED3F5921990

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 153，088 字节

　　感染系统： windows 98以上版本

　　加壳类型： 未知壳

　　二、 病毒描述：

　　该病毒为后门类，病毒运行后复制自身到系统目录，并重命名为csrs.exe ，删除自身。 修改注册表，添加启动项，以达到随机启动的目的。创建自身进程csrs.exe，尝试连接IRC地址；连接成功后可对目标主机进行远程控制。

　　三、 行为分析：

　　1、病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身：%System32%\csrs.exe

　　2、修改注册表，添加启动项，以达到随机启动的目的：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值： 字串： "Client ServerRuntime Process " = "%System32%\csrs.exe"

　　3、尝试连接MSNMessenger（1863），地址如下：69.25.27.173：1863 66.150.161.141：1863 66.150.161.133：1863 66.150.161.140：1863 66.150.161.136：1863 69.25.27.170：1863 69.25.27.172：1863

　　4、创建自身进程csrs.exe，尝试连接IRC地址：

　　IRC地址：67.43.232.109：5910 port：5910

　　频道名： sam3

　　密码： 无

　　5、连接到IRC服务器，等待受控，命令说明如下：

　　IRC命令如：/join <#闲聊室> [该闲聊室的密码] /nick <新别名> /quit [退出连接的理由]……

　　对目标主机的操作：下载文件发起拒绝服务（DDOS）攻击执行IRC命令执行系统扫描

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C：\Windows\System；

　　WindowsXP中默认的安装路径是　C：\Windows\System32.

　　四、 清除方案：

　　1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com .

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm.

　　（1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

　　（2） 强行删除病毒文件%System32%\csrs.exe

　　（3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值： 字串： "Client Server Runtime Process " = "%System32%\csrs.exe"