捕獲時間
2008-12-15
病毒摘要
該樣本是使用“Delphi”編寫的木馬后門程序,由微點(diǎn)主動防御軟件自動捕獲,程序未加殼,文件長度為“173,818字節(jié)”,圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過“網(wǎng)頁木馬”、“文件捆綁”途徑植入用戶計算機(jī),運(yùn)行后等待接受黑客特定指令來遠(yuǎn)程控制用戶計算機(jī)。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁
防范措施
已安裝使用微點(diǎn)主動防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報警提示您發(fā)現(xiàn)"Backdoor.Win32.Srat.a”,請直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動防御軟件升級后截獲已知病毒
對于未使用微點(diǎn)主動防御軟件的用戶,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫升級到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開啟windows自動更新,及時打好漏洞補(bǔ)丁。
病毒分析
該樣本程序被執(zhí)行后,在系統(tǒng)目錄%SystemRoot%\system32\下釋放木馬配置文件“QzwS8v1JdS.del”與“QzwS8v1JdS.ini”,嘗試打開下列360注冊表項,成功打開后,修改其指定的如下鍵值,實現(xiàn)關(guān)閉360的關(guān)鍵位置的監(jiān)控,并通過查找窗口字符串“該進(jìn)程文件是安全的”與“360保險箱-安全提示”,找到后模擬點(diǎn)擊窗口按鈕,突破“360安全衛(wèi)士”對其的監(jiān)控:
| |
項:
HKLM\SOFTWARE\360Safe\safemon
鍵值:MonAccess
指向數(shù)據(jù):0 |
|
創(chuàng)建隨機(jī)名稱的動態(tài)鏈接庫文件于%SystemRoot%\system32\drivers\etc\目錄下,并創(chuàng)建下列的“SRAT_Service”服務(wù):
| |
項:
HKLM\SYSTEM\CurrentControlSet\Services\SRAT_Service
鍵值:ImagePath
數(shù)據(jù):%SystemRoot%\System32\svchost.exe -k netsvcs
鍵值:Start
數(shù)據(jù):2
項:
HKLM\SYSTEM\CurrentControlSet\Services\SRAT_Service\Parameters
鍵值:ServiceDLL
數(shù)據(jù):%SystemRoot%\system32\drivers\etc\[隨機(jī)名稱].dll |
|
開啟“SRAT_Service”服務(wù),服務(wù)啟動后,開啟一個“svchost.exe”進(jìn)程,并向其進(jìn)程空間注入“[隨機(jī)名稱].dll”,反向連接下列指定域名:
等待接受黑客指定命令,執(zhí)行如下功能,將用戶計算機(jī)變?yōu)榭苤鳈C(jī):
| |
文件管理
屏幕監(jiān)控
超級終端
鍵盤記錄
進(jìn)程管理
服務(wù)管理
窗口管理
注冊表管理
音視頻監(jiān)控 |
|
程序運(yùn)行后調(diào)用命令刪除自身,實現(xiàn)自身的隱藏。
