查人人中国名人网谁吃丹参酮治好了痘痘:medman.exe怎么杀啊?
来源:百度文库 编辑:查人人中国名人网 时间:2024/05/12 10:32:30
下载HiJackThis v1.991汉化 http://www.skycn.com/soft/15753.html
具体的使用方法介绍 http://post.baidu.com/f?kz=84155996
获得日志后发表在病毒吧 : http://post.baidu.com/f?kw=%B2%A1%B6%BE
[接下来我会告诉你如何手动删除,相当的容易做到。]
http://img.baidu.com/img/iknow/icn_best.gifBackdoor/Agobot.cgd技术分析报告
2006年3月3日,江民反病毒中心监测到,一个最新高波病毒变种(Backdoor/Agobot.cgd)正在国内迅速传播。根据江民公司未知病毒上报系统显示,第一例上报发生于3月2日06:50 AM,截止到3月3日凌晨,共有584例针对该样本的上报。
此变种文件名Medman.exe,大小259072字节,经过AsProtect加壳处理,功能上和以往高波病毒变种相同,通过多种系统漏洞、管理员弱密码口令进行传播,会连接IRC服务器,接收并执行黑客命令,使被感染计算机成为“僵尸电脑”。
病毒类型:后门
病毒大小:259072字节
传播方式:网络
危害程度:★★
2006年3月3日,江民反病毒中心监测到,一个最新高波病毒变种(Backdoor/Agobot.cgd)正在国内迅速传播。根据江民公司未知病毒上报系统显示,第一例上报发生于3月2日06:50 AM,截止到3月3日凌晨,共有584例针对该样本的上报。
此变种文件名Medman.exe,大小259072字节,经过AsProtect加壳处理,功能上和以往高波病毒变种相同,通过多种系统漏洞、管理员弱密码口令进行传播,会连接IRC服务器,接收并执行黑客命令,使被感染计算机成为“僵尸电脑”。
具体技术特征如下:
1. 病毒运行后,将创建下列文件:
%SystemDir%\medman.exe, 259072字节
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Media Manager" = medman.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Media Manager" = medman.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Media Manager" = medman.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Media Manager" = medman.exe
这样,在Windows启动时,病毒就可以自动执行。
3. 结束多种反病毒软件和防火墙软件进程。改写hosts文件,屏蔽多个安全网站。
4. 通过MS03-007、MS03-026、MS04-011、MS04-031等多种系统漏洞和管理员弱口令进行传播,感染能力很强。病毒传播过程中,会发送大量网络包,用于扫描局域网内存在漏洞的计算机,可以导致局域网拥堵甚至瘫痪。
5. 连接IRC服务器,接收并执行黑客设置的黑客命令,这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等。
Bot-net信息:
server: rawr.0x0539.us:5226
server password: rawrzz
channel: #.rawr.#
channel password: rawrz
Backdoor/Agobot.cgd在成功感染一台计算机后,还会在上面IRC server的#.sploitz.#频道留言,见下图:
40分钟内(3月3日 10:00 AM - 10:40 AM)成功感染了174台计算机(本来我还想观察久些,可惜被op发现,被踢封IP)。它们的IP地址列表如下(局域网地址已过滤):
211.149.247.6, 北京市
211.149.72.115, 北京市
211.149.170.63, 北京市
211.149.76.68, 北京市
221.223.215.129, 北京市 网通
61.51.105.138, 北京市海淀区 /石景山区ADSL
61.51.123.7, 北京市海淀区 ADSL
61.49.137.1, 北京市海淀区 网通ADSL
218.85.173.214, 福建省泉州市 (晋江)电信ADSL
220.162.91.108, 福建省泉州市 永春县电信ADSL
58.22.0.79, 福建省 网通
60.164.99.188, 甘肃省
61.178.206.58, 甘肃省天水市 /庆阳市电信
60.164.80.117, 甘肃省天水市 电信ADSL
218.86.242.54, 贵州省
218.77.226.158, 海南省海口市 电信
202.206.200.108, 河北省 河北经贸大学
221.192.249.11, 河北省保定市 网通ADSL
222.170.59.57, 黑龙江省
218.10.156.251, 黑龙江省佳木斯市 /富锦市
221.210.30.31, 黑龙江省佳木斯市 网通
221.210.74.78, 黑龙江省绥化市
221.210.122.55, 黑龙江省肇东市 网通
61.187.253.171, 湖南省郴州市
220.170.17.156, 湖南省湘潭市 岳瑭区/湘潭县电信ADSL
222.241.207.1, 湖南省株洲市 电信ADSL
220.170.46.182, 湖南省株洲市 电信ADSL
222.241.200.250, 湖南省株洲市 电信ADSL
21.9.24.181, 吉林省长春市 网通ADSL
219.219.202.8, 江苏省苏州市
219.219.202.11, 江苏省苏州市
219.219.201.70, 江苏省苏州市
219.219.202.2, 江苏省苏州市
219.219.201.69, 江苏省苏州市
219.219.201.76, 江苏省苏州市
219.219.201.75, 江苏省苏州市
219.219.202.4, 江苏省苏州市
219.219.201.73, 江苏省苏州市
219.219.201.68, 江苏省苏州市
219.219.202.4, 江苏省苏州市
219.219.202.9, 江苏省苏州市
219.219.202.3, 江苏省苏州市
59.61.132.68, 江西省 电信
59.61.178.81, 江西省 电信
222.62.165.170, 辽宁省朝阳市 建平县
221.200.109.142, 辽宁省沈阳市 网通ADSL
60.210.211.111, 山东省 网通
60.210.164.196, 山东省潍坊市 网通
60.210.142.16, 山东省潍坊市 网通
60.222.112.52, 山西省 网通
58.14.209.161, 山东省济南市 广电网
221.205.212.5, 山西省侯马市 网通
221.205.95.31, 山西省晋中市 网通
222.90.241.200, 陕西省 电信
222.90.6.66, 陕西省西安市 电信ADSL
222.90.125.226, 陕西省西安市 电信ADSL
222.90.133.14, 陕西省西安市 电信ADSL
221.10.160.46, 四川省内江市 网通ADSL
218.164.31.26, 台湾省 台北市
218.68.19.106, 天津市 网通
58.33.20.57, 上海市 (浦东新区/宝山区)电信ADSL
222.60.208.156, 铁通
213.44.185.57, 法国
83.56.224.126, 美国
201.133.56.163, 美国 San Diego California
201.133.31.207, 美国 San Diego California
201.143.49.118, 美国 San Diego California
201.154.131.174, 美国 中部/南部(IANA)
201.220.123.63, 美国 中部/南部(IANA)
201.220.113.214, 美国 中部/南部(IANA)
201.152.113.160, 美国 中部/南部(IANA)
201.152.102.225, 美国 中部/南部(IANA)
201.220.124.102, 美国 中部/南部(IANA)
201.240.14.203, 美国 中部/南部(IANA)
201.152.255.213, 美国 中部/南部(IANA)
201.220.119.106, 美国 中部/南部(IANA)
201.250.32.27, 美国 中部/南部(IANA)
201.220.115.145, 美国 中部/南部(IANA)
201.153.204.76, 美国 中部/南部(IANA)
168.226.68.71, 阿根廷
200.89.49.187, 阿根廷 布宜诺斯艾利斯
200.89.34.102, 阿根廷 布宜诺斯艾利斯
200.74.52.200, 巴西 圣保罗
200.121.147.204, 巴西 圣保罗
200.28.58.30, 巴西 圣保罗
200.28.170.139, 巴西 圣保罗
200.73.246.250, 巴西 圣保罗
200.73.246.250, 巴西 圣保罗
200.73.246.250, 巴西 圣保罗
http://img.baidu.com/img/iknow/icn_best.gifBackdoor/Agobot.cgd技术分析报告
2006年3月3日,江民反病毒中心监测到,一个最新高波病毒变种(Backdoor/Agobot.cgd)正在国内迅速传播。根据江民公司未知病毒上报系统显示,第一例上报发生于3月2日06:50 AM,截止到3月3日凌晨,共有584例针对该样本的上报。
此变种文件名Medman.exe,大小259072字节,经过AsProtect加壳处理,功能上和以往高波病毒变种相同,通过多种系统漏洞、管理员弱密码口令进行传播,会连接IRC服务器,接收并执行黑客命令,使被感染计算机成为“僵尸电脑”。
病毒类型:后门
病毒大小:259072字节
传播方式:网络
危害程度:★★
2006年3月3日,江民反病毒中心监测到,一个最新高波病毒变种(Backdoor/Agobot.cgd)正在国内迅速传播。根据江民公司未知病毒上报系统显示,第一例上报发生于3月2日06:50 AM,截止到3月3日凌晨,共有584例针对该样本的上报。
此变种文件名Medman.exe,大小259072字节,经过AsProtect加壳处理,功能上和以往高波病毒变种相同,通过多种系统漏洞、管理员弱密码口令进行传播,会连接IRC服务器,接收并执行黑客命令,使被感染计算机成为“僵尸电脑”。
具体技术特征如下:
1. 病毒运行后,将创建下列文件:
%SystemDir%\medman.exe, 259072字节
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Media Manager" = medman.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Media Manager" = medman.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Media Manager" = medman.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Media Manager" = medman.exe
这样,在Windows启动时,病毒就可以自动执行。
3. 结束多种反病毒软件和防火墙软件进程。改写hosts文件,屏蔽多个安全网站。
4. 通过MS03-007、MS03-026、MS04-011、MS04-031等多种系统漏洞和管理员弱口令进行传播,感染能力很强。病毒传播过程中,会发送大量网络包,用于扫描局域网内存在漏洞的计算机,可以导致局域网拥堵甚至瘫痪。
5. 连接IRC服务器,接收并执行黑客设置的黑客命令,这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等。
Bot-net信息:
server: rawr.0x0539.us:5226
server password: rawrzz
channel: #.rawr.#
channel password: rawrz
Backdoor/Agobot.cgd在成功感染一台计算机后,还会在上面IRC server的#.sploitz.#频道留言,见下图:
40分钟内(3月3日 10:00 AM - 10:40 AM)成功感染了174台计算机(本来我还想观察久些,可惜被op发现,被踢封IP)。它们的IP地址列表如下(局域网地址已过滤):
211.149.247.6, 北京市
211.149.72.115, 北京市
211.149.170.63, 北京市
211.149.76.68, 北京市
221.223.215.129, 北京市 网通
61.51.105.138, 北京市海淀区 /石景山区ADSL
61.51.123.7, 北京市海淀区 ADSL
61.49.137.1, 北京市海淀区 网通ADSL
218.85.173.214, 福建省泉州市 (晋江)电信ADSL
220.162.91.108, 福建省泉州市 永春县电信ADSL
58.22.0.79, 福建省 网通
60.164.99.188, 甘肃省
61.178.206.58, 甘肃省天水市 /庆阳市电信
60.164.80.117, 甘肃省天水市 电信ADSL
218.86.242.54, 贵州省
218.77.226.158, 海南省海口市 电信
202.206.200.108, 河北省 河北经贸大学
221.192.249.11, 河北省保定市 网通ADSL
222.170.59.57, 黑龙江省
218.10.156.251, 黑龙江省佳木斯市 /富锦市
221.210.30.31, 黑龙江省佳木斯市 网通
221.210.74.78, 黑龙江省绥化市
221.210.122.55, 黑龙江省肇东市 网通
61.187.253.171, 湖南省郴州市
220.170.17.156, 湖南省湘潭市 岳瑭区/湘潭县电信ADSL
222.241.207.1, 湖南省株洲市 电信ADSL
220.170.46.182, 湖南省株洲市 电信ADSL
222.241.200.250, 湖南省株洲市 电信ADSL
21.9.24.181, 吉林省长春市 网通ADSL
219.219.202.8, 江苏省苏州市
219.219.202.11, 江苏省苏州市
219.219.201.70, 江苏省苏州市
219.219.202.2, 江苏省苏州市
219.219.201.69, 江苏省苏州市
219.219.201.76, 江苏省苏州市
219.219.201.75, 江苏省苏州市
219.219.202.4, 江苏省苏州市
219.219.201.73, 江苏省苏州市
219.219.201.68, 江苏省苏州市
219.219.202.4, 江苏省苏州市
219.219.202.9, 江苏省苏州市
219.219.202.3, 江苏省苏州市
59.61.132.68, 江西省 电信
59.61.178.81, 江西省 电信
222.62.165.170, 辽宁省朝阳市 建平县
221.200.109.142, 辽宁省沈阳市 网通ADSL
60.210.211.111, 山东省 网通
60.210.164.196, 山东省潍坊市 网通
60.210.142.16, 山东省潍坊市 网通
60.222.112.52, 山西省 网通
58.14.209.161, 山东省济南市 广电网
221.205.212.5, 山西省侯马市 网通
221.205.95.31, 山西省晋中市 网通
222.90.241.200, 陕西省 电信
222.90.6.66, 陕西省西安市 电信ADSL
222.90.125.226, 陕西省西安市 电信ADSL
222.90.133.14, 陕西省西安市 电信ADSL
221.10.160.46, 四川省内江市 网通ADSL
218.164.31.26, 台湾省 台北市
218.68.19.106, 天津市 网通
58.33.20.57, 上海市 (浦东新区/宝山区)电信ADSL
222.60.208.156, 铁通
213.44.185.57, 法国
83.56.224.126, 美国
201.133.56.163, 美国 San Diego California
201.133.31.207, 美国 San Diego California
201.143.49.118, 美国 San Diego California
201.154.131.174, 美国 中部/南部(IANA)
201.220.123.63, 美国 中部/南部(IANA)
201.220.113.214, 美国 中部/南部(IANA)
201.152.113.160, 美国 中部/南部(IANA)
201.152.102.225, 美国 中部/南部(IANA)
201.220.124.102, 美国 中部/南部(IANA)
201.240.14.203, 美国 中部/南部(IANA)
201.152.255.213, 美国 中部/南部(IANA)
201.220.119.106, 美国 中部/南部(IANA)
201.250.32.27, 美国 中部/南部(IANA)
201.220.115.145, 美国 中部/南部(IANA)
201.153.204.76, 美国 中部/南部(IANA)
168.226.68.71, 阿根廷
200.89.49.187, 阿根廷 布宜诺斯艾利斯
200.89.34.102, 阿根廷 布宜诺斯艾利斯
200.74.52.200, 巴西 圣保罗
200.121.147.204, 巴西 圣保罗
200.28.58.30, 巴西 圣保罗
200.28.170.139, 巴西 圣保罗
200.73.246.250, 巴西 圣保罗
200.73.246.250, 巴西 圣保罗
200.73.246.250, 巴西 圣保罗