后門程序
Backdoor.Win32.Agent.a
捕獲時間
2010-7-10
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的“后門程序”,由微點主動防御軟件自動捕獲�,長度為“87�,040”字節,圖標為“ ”��,使用“exe”擴展名����,通過文件捆綁、網頁掛馬��、下載器下載等方式進行傳播����。病毒主要目的是遠程控制用戶電腦。用戶中毒后會出現未知的進程����,電腦運行緩慢現象�����。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬��、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒�。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”��,請直接選擇刪除處理(如圖1)���;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�,微點將報警提示您發現木馬"Backdoor.Win32.Agent.a”,請直接選擇刪除(如圖2)�。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
手動刪除文件
1.刪除%SystemRoot%\system32\RxmithC.dll (隨機名)
手動刪除注冊表
1.刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaSerial
2.刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
名稱:krnlsrvc
數據:MediaSerial
變量聲明:
%SystemDriver% 系統所在分區���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄����,通常為:“C:\ProgramFiles”
病毒分析:
1.創建進程快照遍歷進程,查找“360tray.exe”����,“Rstray.exe” 等安全軟件進程,并提升自身權限��,強行關閉安全軟件進程.
2.釋放文件%Temp%\3375203_res.tmp并將移動到%SystemRoot%\system32\RxmithC.dll改變其時間屬性��,文件屬性為系統隱藏�����。成功后刪除臨時文件3375203_res.tmp
3. 加載RXmithc.dll,創建注冊表項���,以實現通過進程svchost.exe加載服務方式自啟動�。
4. 以隱藏命令窗口形式刪除病毒自身。
5. %SystemRoot%\system32\RxmithC.dll注入到svchost.exe運行后會從指定地址獲取遠程主機IP,并連接到黑客主機聽候命令。用戶的機器成為傀儡�����。
病毒創建文件:
%Temp%\3375203_res.tmp
%SystemRoot%\system32\RxmithC.dll (隨機名)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaSerial
名稱:Imagepath
數據:%SystemRoot%\System32\svchost.exe -k krnlsrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaSerial\Parameters
名稱:ServiceDll
數據:C:\WINDOWS\system32\RxmithC.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
名稱:krnlsrvc
數據:MediaSerial
病毒訪問網絡:
http://lgpk.****.org:1800
|
