捕获时间
2008-12-18
病毒摘要
该样本是使用“vc”编写的木马后门程序,由微点主动防御软件自动捕获,程序未加壳,文件长度为“596,253字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”途径植入用户计算机,运行后等待接受黑客特定指令来远程控制用户计算机。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"backdoor.win32.redgirl.n”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,拷贝自身到系统目录%systemroot%\system32\下,名称为“564646.exe”,成功后立即使用一个带“1”参数的命令进行调用开启一个新进程实现其他操作,自身调用实现运行在%systemroot%\system32\目录下创建的 “tmp.bat” 批处理脚本,来删除病毒实现自身的隐藏:
| quote: |
echo off
:delete
del "c:\小盈的照照.exe"
if exist "c:\小盈的照照.exe" goto delete
del "c:\windows\system32\tmp.bat"
echo on
|
|
使用带“1”参数调用的“564646.exe”进程运行后,查找下列指定的杀软进程名,找到后尝试结束杀软进程:
| quote: |
avp.exe
kwatch.exe
rising.exe |
|
释放名为“564646.dat”的文件到系统目录%systemroot%\system32\下,不断遍历查找下列关键字标题窗口,找到后尝试发送消息模拟鼠标点击躲过杀软对自身的拦截:
修改系统时间为2000年,使部分杀软失效实现躲过对自身的查杀,创建下列的“15656456”服务:
| quote: |
项:
hklm\system\currentcontrolset\services\15656456
键值:imagepath
数据:%systemroot%\system32\564646.exe -service
键值:start
数据:2 |
|
创建成功后开启调用此服务,服务启动后,开启一个带“-service”运行起来的“564646.exe”进程,该进程实现与带“1”参数相同的操作后,开启一个“iexplore.exe”进程,并向其进程空间注入“564646.dat”,通过调用本机api函数“zwquerysysteminformation”实现隐藏,反向连接指定的控制方ip地址端口:
等待接受黑客指定命令,执行如下功能,将用户计算机变为傀儡主机:
| quote: |
文件管理
注册表管理
进程管理
服务管理
窗口管理
超级终端
屏幕监控
屏幕控制
视频控制
语音监听
代理服务
洪水攻击
键盘记录 |
|
|
