后門程序
Backdoor.Win32.Small.a
捕獲時間
2010-8-15
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的后門程序,由微點主動防御軟件自動捕獲,采用‘NSPACK ’加殼方式,加殼后的長度為“25,182字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“網頁木馬“,“文件捆綁”、“下載器下載”等方式傳播
用戶中毒后,會出現網絡運行緩慢,網絡端口開啟。文件資料被泄漏。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“Rootkit程序”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Backdoor.Win32.Small.a”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%System%\Temp\1604687.dll
%SystemRoot%\system32\2449203.exe
%SystemRoot%\system32\drivers\pcidump.sys
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles
病毒分析:
1 該樣本執行后,創建互斥體 " TGame...",阻止程序再次運行。
2 比較自身是不是 %SystemRoot%\Explorer.exe,若是,就拷貝“%SystemRoot%\system32\drivers\gm.dls"文件到%System%\Temp\目錄, 改名為 Explorer.exe,并shellexeute執行。
設置自己為 SeDebugPrivilege權限。創建線程,枚舉頂層窗口。
3 遍歷進程查找是否存在ekrn.exe。若成功,動態加載shell32.dll,調用shellexeute執行命令操作結束該進程。
4 獲取開機時間,在臨時目錄%Temp%下,創建1604687.dll文件(可變,根據開機時間),并調用rundll32.exe進行加載。
5 獲取系統目錄,創建文件"%SystemRoot%\system32\2449203.exe"(可變)并調用 shellexeute執行。
6 在系統目錄下創建驅動文件"%SystemRoot%\system32\drivers\pcidump.sys。
7 創建服務, 服務名為pcidump,服務類型SERVICE_DEMAND_START,啟動服務。
8 創建文件“\\.\pcidump”,訪問設備。等待網絡鏈接,向指定地址發送連接請求,進行控制。
病毒創建文件:
%System%\Temp\1604687.dll
%SystemRoot%\system32\2449203.exe
%SystemRoot%\system32\drivers\pcidump.sys
病毒刪除文件:
%System%\Temp\Explorer.exe
