捕獲時(shí)間
2008-09-18
病毒摘要
該樣本是使用“VC”編寫的“后門程序”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“52,256 字節(jié)”,圖標(biāo)為
����, 使用“ exe”擴(kuò)展名,通過“網(wǎng)頁木馬”����、“下載器下載”等途徑植入用戶計(jì)算機(jī)���,病毒運(yùn)行與黑客進(jìn)行通訊遠(yuǎn)程控制用戶計(jì)算機(jī)��。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶����,無須任何設(shè)置����,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�����。無論您是否已經(jīng)升級(jí)到最新版本���,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒��。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”��,請(qǐng)直接選擇刪除處理(如圖1)��;
圖1 主動(dòng)防御自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)" Backdoor.Win32.SFind.a”,請(qǐng)直接選擇刪除(如圖2)�����。
圖2 升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶����,微點(diǎn)反病毒專家建議:
1�����、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)�。
2���、盡快將您的殺毒軟件特征庫升級(jí)到最新版本進(jìn)行查殺����,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問����,如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3��、開啟windows自動(dòng)更新���,及時(shí)打好漏洞補(bǔ)丁�。
病毒分析
該樣本程序被執(zhí)行后,判斷自身是否處于虛擬機(jī)環(huán)境中,如果是則結(jié)束自身防止被調(diào)試與分析�����;查找目錄%SystemRoot%\system32\下是否存在文件“AutoUpdate.exe”�,如存在則將其注冊(cè)成名為“UpdateSrv”的服務(wù)并使用相關(guān)API函數(shù)啟動(dòng)此服務(wù);否則拷貝自身到此目錄下重命名為“AutoUpdate.exe”,使用函數(shù)CreateProcessA啟動(dòng)此病毒拷貝���;在同一目錄下釋放動(dòng)態(tài)鏈接庫文件“AutoUpdate.dll”�����,修改上述文件創(chuàng)建時(shí)間為“2004年”以增強(qiáng)隱蔽性���;提權(quán)后查找進(jìn)程“lsass.exe”申請(qǐng)空間將動(dòng)態(tài)庫文件“AutoUpdate.dll”寫入�����,創(chuàng)建遠(yuǎn)程線程在該進(jìn)程中開啟一本地線程;在目錄%SystemRoot%\system32\drivers\下釋放驅(qū)動(dòng)文件“AutoUpdate.sys”并將其注冊(cè)成名為“usbmouseb”的服務(wù),修改SSDT表掛鉤相關(guān)系統(tǒng)服務(wù)隱藏自身注冊(cè)表和文件���,后使用批處理執(zhí)行自刪除。
|
|
項(xiàng):HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
鍵值:DisplayName
指向數(shù)據(jù):UpdateSrv
項(xiàng):HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
鍵值:ImagePath
指向數(shù)據(jù):C:\WINDOWS\SYSTEM32\AutoUpdate.exe -u
項(xiàng):HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
鍵值:Start
指向數(shù)據(jù):02 |
|
動(dòng)態(tài)庫文件“AutoUpdate.dll”被加載運(yùn)行后,從IP地址“61.164.102.90”讀取后門種植者所設(shè)置的反彈連接“IP地址”與“端口號(hào)”進(jìn)行反向連接�,連接成功后開啟多個(gè)線程與黑客進(jìn)行通訊�,接受黑客的控制并從IP“ 116.252.185.15”的網(wǎng)站下載木馬執(zhí)行���,使被病毒感染主機(jī)倫為傀儡主機(jī)����。
