Backdoor.Win32.PcClient.qf

病毒标签：

病毒名称： Backdoor.Win32.PcClient.qf

病毒类型： 后门

文件 MD5： 02276F85ABB6F7BC9AB1093C1CF456DA

公开范围： 完全公开

危害等级： 中

文件长度：144,384 字节

感染系统： windows98以上版本

开发工具： Microsoft Visual C++6.0

加壳类型： PE-Armor 0.49

命名对照：Symentec[W32.Spybot.Worm]

Mcafee[W32/Sdbot.worm.gen.ax]

病毒描述：

该病毒属后门类。病毒运行后，释放病毒文件到%system32%下，并删除自身，释放的病毒文件创建时间显示为系统装机时间，属性为隐藏，修改注册表，添加启动项，以达到随机启动的目的；连接网络，开启本地端口。该病毒可盗取网络游戏魔兽世界账号与密码。

行为分析：

1、病毒运行后，释放病毒文件到%system32%下，并删除自身：

%system32%\\msdtc2k.exe

2、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "Microsoft MSDTC HotFix KB5456"="msdtc2k.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "Microsoft MSDTC HotFix KB5456"="msdtc2k.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunServices\\

键值: 字串: "Microsoft MSDTC HotFix KB5456"="msdtc2k.exe"

3、连接网络，开启本地端口：

协议：TCP

IP：124.24.13.72(日本富士通公司)

开启本地端口：65267

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%system32%\\msdtc2k.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "Microsoft MSDTC HotFix KB5456"="msdtc2k.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run

键值: 字串: "Microsoft MSDTC HotFix KB5456"="msdtc2k.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunServices\\

键值: 字串: "Microsoft MSDTC HotFix KB5456"="msdtc2k.exe"