游戏风云女主持人:怎么杀掉backdoor. virkel.a

病毒标签：
病毒名称： Backdoor.Win32.Virkel.a
病毒类型： 后门
文件 MD5： 87768EB9F0BEAAAC91BE85D82E010B95
公开范围： 完全公开
危害等级： 中
文件长度： 104,960 字节
感染系统： windows 98 及以上版本
开发工具： Visual Basic 6.0
加壳类型： PECompact
命名对照： Symentec[W32.Chod.D]
Mcafee[W32/Generic.m]

病毒描述：
该病毒属后门类，病毒主要通过msn传播。病毒运行后会复制自身到%System%<random folder name>csrss.exe下。该病毒还具有IRC信道功能，恶意用户对感染主机能够执行恶意操作，病毒还具有Flood功能，获取感染主机的信息。病毒运行后会修改hosts文件，尝试终止反病毒及安全软件的进程，该病毒对用户有一定的危害。
行为分析：
1、病毒运行后会复制自身到：
%system%<random folder>csrss.exe
病毒名：Backdoor.Win32.Virkel.a文件长度：104,960字节
%system%<random folder>csrss.ini配置文件
%system%<random folder>smss.exe
病毒名：Backdoor.Win32.Virkel.a文件长度：24,576字节

2、修改注册表文件：
尝试添加启动项：
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload
键值：字串："%System%<random folder name>csrss.exe"
HKEY_CURRENT_USER SoftwareMicrosoftWindows NTCurrentVersionWindowsrun
键值：字串："%System%<random folder name>csrss.exe"
病毒还会新建如下的键值，但却没有设置键值：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuncsrss
HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRuncsrss
尝试修改以下键值，将文件设置为隐藏：
HKEY_CURRENT_USER SoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedHidden = 2
HKEY_CURRENT_USER SoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedSuperHidden = 0
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedShowSuperHidden = 0
尝试删除以下反病毒及安全软件的注册表键值：
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：KAVPersonal50
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：pccguide.exe
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：gcasServ
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：Outpost Firewall
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：SmcService
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：Symantec NetDriver Monitor
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：ccApp
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：VSOCheckTask
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：VirusScan Online
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：MCUpdateExe
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：MCAgentExe
HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun
键值：字串：CleanUp

3、修改URL文件，阻止用户访问反病毒及安全类网站，添加以下地址列表：

customer.symantec.com
rads.mcafee.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
support.microsoft.com
symantec.com
update.symantec.com
……
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.viruslist.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com

4、尝试终止如下反病毒及安全软件的进程： Symantec Core LC
wscsvc
SharedAccess
ISSVC
navapsvc
ccEvtMgr
SNDSrvc
ccProxy
ccPwdSvc
ccSetMgr
SPBBCSvc
SAVScan
……
SBService
SmcService
OutpostFirewall
vsmon
CAISafe
PcCtlCom
TmPfw
tmproxy
Tmntsrv
srservice
kavsvc

5、病毒还具有IRC信道功能，远程恶意者能够控制主机，进行一些恶意操作，如：删除、下载、运行文件、获取感染主机的信息、发起flood攻击、开启代理服务等。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------
清除方案：
1、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 通过使用“任务管理器”关闭病毒进程

(2) 删除病毒及相关文件： 通过在%system%下查看文件夹的创建、修改日期，来定位到该病毒所在文件 夹，删除这三个病毒文件及文件夹。

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项。
删除病毒新建的注册表键值：
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload
键值：字串："%System%<random folder name>csrss.exe"
HKEY_CURRENT_USER SoftwareMicrosoftWindows NTCurrentVersionWindowsrun
键值：字串："%System%<random folder name>csrss.exe"