捕獲時(shí)間
2009-1-18
病毒摘要
該樣本是使用“VC”編寫(xiě)的木馬后門(mén)程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,程序未加殼,文件長(zhǎng)度為“596,253字節(jié)”,圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過(guò)“網(wǎng)頁(yè)木馬”、“文件捆綁”、“誘騙用戶(hù)點(diǎn)擊”等途徑植入用戶(hù)計(jì)算機(jī),運(yùn)行后等待接受黑客特定指令來(lái)遠(yuǎn)程控制用戶(hù)計(jì)算機(jī)。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁(yè)木馬、文件捆綁
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶(hù),無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”,請(qǐng)直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Backdoor.Win32.RedGirl.o”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶(hù),微點(diǎn)反病毒專(zhuān)家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過(guò)捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺,并開(kāi)啟防火墻攔截網(wǎng)絡(luò)異常訪問(wèn),如依然有異常情況請(qǐng)注意及時(shí)與專(zhuān)業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開(kāi)啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。
病毒分析
該樣本程序被執(zhí)行后,拷貝自身到系統(tǒng)目錄%SystemRoot%\system32\下,名稱(chēng)為“wscsc.exe”,成功后立即使用一個(gè)帶“1”參數(shù)的命令進(jìn)行調(diào)用開(kāi)啟一個(gè)新進(jìn)程實(shí)現(xiàn)其他操作,自身調(diào)用實(shí)現(xiàn)運(yùn)行在%SystemRoot%\system32\目錄下創(chuàng)建的 “tmp.bat” 批處理腳本,來(lái)刪除病毒實(shí)現(xiàn)自身的隱藏:
| |
echo off
:delete
del "C:\sample.exe"
if exist " C:\sample.exe " goto delete
del "C:\WINDOWS\system32\tmp.bat"
echo on |
|
使用帶“1”參數(shù)調(diào)用的“wscsc.exe”進(jìn)程運(yùn)行后,查找下列指定的殺軟進(jìn)程名,找到后嘗試結(jié)束殺軟進(jìn)程:
| |
avp.exe
kwatch.exe
rising.exe |
|
釋放名為“wscsc.dat”的文件到系統(tǒng)目錄%SystemRoot%\system32\下,不斷遍歷查找下列關(guān)鍵字標(biāo)題窗口,找到后嘗試發(fā)送消息模擬鼠標(biāo)點(diǎn)擊躲過(guò)殺軟對(duì)自身的攔截:
| |
瑞星主動(dòng)防御
微點(diǎn)主動(dòng)防御軟件 |
|
修改系統(tǒng)時(shí)間為2000年,使部分殺軟失效實(shí)現(xiàn)躲過(guò)對(duì)自身的查殺,創(chuàng)建下列的“15656456”服務(wù):
| |
鍵:HKLM\SYSTEM\CurrentControlSet\Services\wscsc
值:ImagePath
數(shù)據(jù):%SystemRoot%\System32\wscsc.exe -service
值:Start
數(shù)據(jù):2 |
|
創(chuàng)建成功后開(kāi)啟調(diào)用此服務(wù),服務(wù)啟動(dòng)后,開(kāi)啟一個(gè)帶“-service”運(yùn)行起來(lái)的“wscsc.exe”進(jìn)程,該進(jìn)程實(shí)現(xiàn)與帶“1”參數(shù)相同的操作后,開(kāi)啟一個(gè)“iexplore.exe”進(jìn)程,并向其進(jìn)程空間注入“wscsc.dat”,通過(guò)調(diào)用本機(jī)API函數(shù)“ZwQuerySystemInformation”實(shí)現(xiàn)隱藏,反向連接指定的控制方IP地址端口,等待接受黑客指定命令,執(zhí)行如下功能,將用戶(hù)計(jì)算機(jī)變?yōu)榭苤鳈C(jī):
| |
文件管理
注冊(cè)表管理
進(jìn)程管理
服務(wù)管理
窗口管理
超級(jí)終端
屏幕監(jiān)控
屏幕控制
視頻控制
語(yǔ)音監(jiān)聽(tīng)
代理服務(wù)
洪水攻擊
鍵盤(pán)記錄 |
|
