东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

网络红娘后门 backdoor.win32.redgirl.n

捕获时间

2008-12-18

病毒摘要

该样本是使用“vc”编写的木马后门程序,由微点主动防御软件自动捕获,程序未加壳,文件长度为“596,253字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”途径植入用户计算机,运行后等待接受黑客特定指令来远程控制用户计算机。


感染对象


windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


                          图1 微点主动防御软件自动捕获未知病毒(未升级)

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"backdoor.win32.redgirl.n”,请直接选择删除(如图2)。


                             图2   微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

病毒分析

该样本程序被执行后,拷贝自身到系统目录%systemroot%\system32\下,名称为“564646.exe”,成功后立即使用一个带“1”参数的命令进行调用开启一个新进程实现其他操作,自身调用实现运行在%systemroot%\system32\目录下创建的 “tmp.bat” 批处理脚本,来删除病毒实现自身的隐藏:

  quote:
echo off
:delete
del "c:\小盈的照照.exe"
if exist "c:\小盈的照照.exe" goto delete
del "c:\windows\system32\tmp.bat"
echo on
  


使用带“1”参数调用的“564646.exe”进程运行后,查找下列指定的杀软进程名,找到后尝试结束杀软进程:

  quote:
avp.exe
kwatch.exe
rising.exe


释放名为“564646.dat”的文件到系统目录%systemroot%\system32\下,不断遍历查找下列关键字标题窗口,找到后尝试发送消息模拟鼠标点击躲过杀软对自身的拦截:

  quote:
瑞星主动防御
微点主动防御软件


修改系统时间为2000年,使部分杀软失效实现躲过对自身的查杀,创建下列的“15656456”服务:

  quote:
项:
hklm\system\currentcontrolset\services\15656456
键值:imagepath
数据:%systemroot%\system32\564646.exe -service
键值:start
数据:2


创建成功后开启调用此服务,服务启动后,开启一个带“-service”运行起来的“564646.exe”进程,该进程实现与带“1”参数相同的操作后,开启一个“iexplore.exe”进程,并向其进程空间注入“564646.dat”,通过调用本机api函数“zwquerysysteminformation”实现隐藏,反向连接指定的控制方ip地址端口:

  quote:
59.**.236.55:2007


等待接受黑客指定命令,执行如下功能,将用户计算机变为傀儡主机:

  quote:
文件管理
注册表管理
进程管理
服务管理
窗口管理
超级终端
屏幕监控
屏幕控制
视频控制
语音监听
代理服务
洪水攻击
键盘记录

 

免费试用
下  载

网站地图