捕獲時間
2008-12-6
病毒摘要
該樣本是使用VC編寫的后門程序�,由微點主動防御軟件自動捕獲����,未加殼,樣本文件長度為“292,098 字節”,圖標為“
”�����,使用“exe”擴展名�,通過“網頁木馬”、“文件捆綁”等途徑植入用戶計算機,病毒捆綁了一款黑客工具和一款遠控后門,并利用黑客工具聲稱過卡巴�、360保險箱���、瑞星����、金山等主流殺軟的功能誘惑相關產業人員及愛好者下載運行�����,主要用于竊取用戶資料及隱私作為遠控后門使用。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶��,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒���。如果您沒有將微點主動防御軟件升級到最新版�,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)����;
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本���,微點將報警提示您發現"Trojan-Dropper.Win32.Agent.vuc”����,請直接選擇刪除(如圖2)����。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1���、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統�。
2���、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺��,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持�。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本被執行后����,釋放文件“tamp1.exe”至系統目錄“%SystemRoot%\System32”����,此文件為名為“過主動免殺殼 Beta 1.2” 的黑客工具�,釋放文件“tamp1.exe”至系統目錄“%SystemRoot%\System32”,此文件是一款后門程序,隨后將依次運行“tamp1.exe”和“tamp2.exe”�。
“tamp1.exe”運行后��,將出現標題為“過主動免殺殼 Beta 1.2 BY:倒霉蛋兒”的黑客工具界面,企圖欺騙用戶,隱藏其真正目的。“tamp2.exe”運行后,釋放隨機文件名動態庫文件至“%SystemRoot%\System32\Drivers\etc”�,修改注冊表��,將動態庫文件注冊為服務,使之隨scvhost啟動��,相關注冊表項如下:
| |
項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360安全衛士更新插件
鍵:Start
數據:SERVICE_AUTO_START
鍵:ImagePath
數據:%SystemRoot%\System32\svchost.exe -k netsvcs
鍵:DisplayName
數據:360安全衛士更新插件
項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360安全衛士更新插件\Parameters
鍵:ServiceDLL
數據:%SystemRoot%\system32\drivers\etc\u02YPrlu.dll |
|
運行“svchost.exe”��, 申請內存空間寫入一段病毒代碼�,注入“svchost.exe”����,刪除“tamp2.exe”,通過“svchost.exe”連接動態域名“4948197.3**2.org”讀取后門種植者所設置的IP地址和端口號進行反向連接�,連接成功后與黑客進行通訊�,接受黑客的控制�,使被病毒感染主機倫為傀儡主機,可使用遠程進程管理,遠程注冊表操作,遠程重啟關機�,文件上傳下載�,開啟鍵盤記錄監聽等操作。
