● 新木马“Manifest”的技术特征及其清除方法 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: gordonlot (人渣有理), 信区: Virus
标  题: 新木马“Manifest”的技术特征及其清除方法
发信站: 荔园晨风BBS站 (Tue Dec  3 08:41:17 2002), 转信

  病毒名称：W32.Manifest.Trojan
　　发现日期：2002-11-26
　　病毒类型：特洛伊木马
　　感染长度：1,712 字节, 2,702 字节, 3,508 字节, 32,768 字节, 45,056 字
节, 85,504 字节, 94,208 字节, 99,840 字节, 114,688 字节, 446,464 字节,
2,457,600 字节
　　危害级别：低
　　传播速度：慢
　　受影响系统：Windows 95, Windows 98, Windows NT, Windows 2000,
Windows XP, Windows Me
　　不受影响系统：Windows 3.x, Macintosh, OS/2, Unix, Linux
　　
　　病毒危害：
　　可让攻击者无限次地远程访问本地机器
　　
　　技术特征：
　　该木马会在被感染机器上安装ftp服务器、监控程序及邮件服务器，借助
KaZaA文件交换网络传播。运行后，它会：
　　1.在 %ProgramFiles%Common FilesServices下创建如下文件：
　　Wssdsu.exe *
　　Wssdsup.exe
　　Wssdtu.exe
　　Wsys.exe *
　　Wsys.dll *
　　Bigfoot.bmp *
　　Infospbz.bmp *
　　Infospce.bmp *
　　Swtchbrd.bmp *
　　Verisign.bmp *
　　Whowhere.bmp *
　　Yahoo.bmp *
　　Serv-u.ini
　　Starr.ini *
　　Slog.sys
　　
　　同时还会在%windir%文件夹下创建如下文件；
　　See32.dll *
　　See32u.dll *
　　See32z.dll *
　　
　　2.对注册表进行修改：
　　在
HKEY_LOCAL_MACHINESOFTWARESoftwareMicrosoftWindowsCurrentVersionRun中添
加Enumerate Service C:Program FilesCommon FilesServiceswsys.exe
　　Folder Service C:Program FilesCommon FilesServiceswssdtu.exe
　　
　　并在
HKEY_LOCAL_MACHINESOFTWARESoftwareMicrosoftWindowsCurrentVersionRunServi
ces中添加Serv-U C:Program FilesCommon FilesServiceswssdsu.exe键。
　　
　　3.设置ftp服务器，监听20端口；
　　木马运行过程中，它还会通过ftp上传用户及系统信息至home.pi.be网页。
　　
　　木马清除：
　　1.更新病毒库；
　　2.重启机器进入安全模式；
　　3.进行系统扫描；
　　4.删除扫描到的W32.Manifest.Trojan文件；
　　5.恢复被修改的注册表；
　　6.删除木马复制到本地机器上文件。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.31.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店