WORMRODOKA及其后门程序.docVIP

WORM_RODOK.A及其后门程序 病毒技术细节及清除解决方案 WORM_RODOK.A病毒技术细节： 通过网络传播： 是 发现日期： 2002/10/08 11:03:43 PM GMT -0800 可检测日期： 2002/10/08 11:33:41 PM GMT -0800 可检测版本： 病毒码 364及以上 引擎5.2及以上 语言： English 平台： Windows 是否加密： 否 病毒大小： 53,248字节 详细描述： 该病毒用Visual Basic 6.0编写，通过MSN Messenger进行传播。 执行该病毒程序后，会显示包含下列字符串的窗口： GenerateQuit 注册表设置： 该病毒会检查注册表，加入如下关键字： HKEY_CURRENT_USER\Software\Valve\CounterStrike\Settings\Key HKEY_CURRENT_USER\Software\Valve\Half-Life\Settings\Key 传播方式： 该蠕虫病毒会打开MSN Messenger并发送如下信息： Hey!! Could you please check out this program for me? :) I made it myself and want people to test it. Its a readme with the program that explains what it does!http://home.blocked.net/downl0ad/BR2002.exe -- There you can download it! give me advices on what to upgrade please!!?/p 然后该病毒会自动检查自己的是否存在升级版本，此时会显示如下信息： helloUpdating... 它会自动连接到该网址（http://home.blocked.net/downl0ad/Update.exe ）进行升级，并将文件保存在：C:\ update35784.exe. 后门程序： 该蠕虫病毒会从下列网址下载该文件 http://home.blocked.net/downl0ad/CS-Keygen.exe 然后将其保存在： C:\ hehe2397824.exe 同时，该病毒会在Windows目录创建文件名为“WinUpdat.exeupdate.ur.address”的文件，并在注册表中添加如下键值使系统启动时自动运行该文件： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWinUpdat = C:\WINDOWS\WinUpdat.exeupdate.ur.address 趋势科技防毒软件（最新病毒码引擎）可以检测出WinUpdat.exeupdate.ur.address hehe2397824.exe两个文件感染了BKDR_EVILBOT.A病毒。 其它： 该蠕虫病毒会以随机的进程名称在后台运行，在该进程中可以发现如下文字： I have loaded the ur CDKEY Generator 1.3! Worm_Rodok.A及其后门程序清除方案 Worm_Rodok.A 别名：Henpeck 描述： 这个蠕虫病毒通过MSN来传播，它通过连接一个URL来更新自身。他同时也生成和执行一个后门程序： BKDR_EVILBOT.A (请看后面描述) 解决方案： 自动清除操作方法 1．趋势产品用户下载TSC 手动运行或者部署到趋势产品上来有效清除病毒。 部署方法：将相关文件解压缩到产品目录下，覆盖原有的文件。 例如：对于OfficeScan 5.02, 默认目录是C:\OfficeScanNT. 在PC-cillin 2002, 默认目录是C:\Program Files\Trend Micro\PC-cillin 2002. 企业大规模部署请看TSC下相关文档。 2．非趋势产品用户下载Trend Micro System Cleaner Package来清除。 注意：使用前读说明文档。 手动清除方法 识别病毒体： 清除之前先识别出病毒程序。 用趋势产品扫描你的系统，注意所有检测到感染WORM_RODOK.A的文件。你要保证使用最新的病毒码来扫描。其他用户可用趋势的在线扫描 终止恶意程序： 终止病毒在内存中的进程。这时需要知道你先前一步检测出来的病毒文件名。 打开windows任务管理器, 在Windows 9x/ME 上，按CTRL+ALT+DELET