捕獲時(shí)間
2008-11-12
病毒摘要
該樣本為Delphi編寫的后門程序����,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲����,長(zhǎng)度為“389,771 字節(jié)”�����,圖標(biāo)為
�,病毒擴(kuò)展名為“exe”,通過(guò)“網(wǎng)頁(yè)木馬”�����、“文件捆綁”等途徑植入用戶計(jì)算機(jī)�,病毒主要作為被入侵系統(tǒng)的后門,進(jìn)行遠(yuǎn)程控制�����,可導(dǎo)致用戶的資料外泄�����。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁(yè)木馬、下載器下載、文件捆綁
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶����,無(wú)須任何設(shè)置���,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞���。無(wú)論您是否已經(jīng)升級(jí)到最新版本�,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒���。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版����,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”,請(qǐng)直接選擇刪除處理(如圖1);
圖1 主動(dòng)防御自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本�,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Backdoor.Win32.Delf.gco”���,請(qǐng)直接選擇刪除(如圖2)�����。
圖2 升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝�,避免病毒通過(guò)捆綁的方式進(jìn)入您的系統(tǒng)�����。
2�����、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺�,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問(wèn)��,如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持����。
3��、開啟windows自動(dòng)更新�,及時(shí)打好漏洞補(bǔ)丁���。
病毒分析
該樣本程序被執(zhí)行后���,將復(fù)制自身至“%SystemRoot%”目錄下��,并命名為“Kvmon.exe”���,修改注冊(cè)表��,建立啟動(dòng)項(xiàng),相關(guān)注冊(cè)表項(xiàng)如下:
| |
項(xiàng):“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”
鍵值:“Userinit”
指向數(shù)據(jù):“C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Kvmon.exe –ini” |
|
釋放動(dòng)態(tài)庫(kù)文件“Kvmon.dll”至“%SystemRoot%”目錄�,將后門反向連接信息寫入注冊(cè)表��,相關(guān)注冊(cè)表項(xiàng)如下:
| |
項(xiàng):“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup”
鍵值:“Beizhu”
指向數(shù)據(jù):“上線”
鍵值:“Info”
指向數(shù)據(jù):“60.2*5.2*7.36:8080>>上線>遠(yuǎn)程上線主機(jī)>25>0>1080>*****>123456>C:\Sample.exe>” |
|
隨即隱藏啟動(dòng)一個(gè)“IExplorer”進(jìn)程,申請(qǐng)空間將動(dòng)態(tài)庫(kù)文件“Kvmon.dll”注入�����,利用WinExec函數(shù)執(zhí)行批處理,實(shí)現(xiàn)自刪除���。
動(dòng)態(tài)庫(kù)“Kvmon.dll”將通過(guò)注冊(cè)表讀取后門種植者所設(shè)置的IP地址和端口號(hào)進(jìn)行反向連接�,連接成功后開啟多個(gè)線程與黑客進(jìn)行通訊,接受黑客的控制��,使被病毒感染主機(jī)倫為傀儡主機(jī)����,可能導(dǎo)致用戶資料外泄等嚴(yán)重后果。
