后門(mén)程序Backdoor.Win32.SdBot.fjg
Backdoor.Win32.SdBot.fjg
捕獲時(shí)間
2009-1-4
病毒摘要
該樣本是使用“VC ”編寫(xiě)的后門(mén)程序�����,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“Armadillo”加殼方式,企圖躲過(guò)特征碼掃描,長(zhǎng)度為“52,786 字節(jié)”����,圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過(guò)“誘騙用戶(hù)點(diǎn)擊”、“網(wǎng)頁(yè)掛馬”�����、“文件捆綁”等方式傳播���,病毒將建立IRC后門(mén)連接�����,下載病毒至用戶(hù)主機(jī)運(yùn)行����。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁(yè)木馬�、文件捆綁
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶(hù),無(wú)須任何設(shè)置���,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本����,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒�。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版���,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知后門(mén)程序”�����,請(qǐng)直接選擇刪除處理(如圖1)���;
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本���,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Backdoor.Win32.SdBot.fjg”,請(qǐng)直接選擇刪除(如圖2)�。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶(hù)�����,微點(diǎn)反病毒專(zhuān)家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝�,避免病毒通過(guò)捆綁的方式進(jìn)入您的系統(tǒng)���。
2��、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺,并開(kāi)啟防火墻攔截網(wǎng)絡(luò)異常訪(fǎng)問(wèn)�����,如依然有異常情況請(qǐng)注意及時(shí)與專(zhuān)業(yè)的安全軟件廠(chǎng)商聯(lián)系獲取技術(shù)支持�����。
3��、開(kāi)啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁���。
病毒分析
該樣本程序被執(zhí)行后,將創(chuàng)建雙進(jìn)程��,進(jìn)行數(shù)據(jù)解密�,彈出窗口,誘騙用戶(hù):
隨后釋放文件“fxstaller.exe”至系統(tǒng)文件夾“%SystemRoot%”����,通過(guò)函數(shù)SetFileAttributes修改文件屬性為:“系統(tǒng)”�、“隱藏”�����、“只讀”�;修改注冊(cè)表項(xiàng)�����,將“fxstaller.exe”設(shè)置為自啟動(dòng)項(xiàng)�,相關(guān)注冊(cè)表項(xiàng)如下:
| |
項(xiàng):“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”
鍵:“Windows UDP Control Center”
數(shù)據(jù):“fxstaller.exe” |
|
樣本將啟動(dòng)“fxstaller.exe”����, “fxstaller.exe”啟動(dòng)后將創(chuàng)建雙進(jìn)程,進(jìn)行數(shù)據(jù)解密��,將連接IRC服務(wù)器“hub1.pr**8net.com”����,下載病毒文件“193.***.**.121/spc.gif”,另存為“spc.exe”至系統(tǒng)磁盤(pán)“%SystemDrive%”并立即運(yùn)行�。
“fxstaller.exe”將遍歷MSN聊天窗口����,將自身重命名為“IMG***.jpg-www.photo.com”至“%Temp%”文件夾�,利用函數(shù)VkKeyScan模擬鍵盤(pán),通過(guò)模擬點(diǎn)擊,向用戶(hù)其他好友發(fā)送自身�����,以擴(kuò)大感染范圍����。
