beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

后門程序

Backdoor.Win32.Yoddos.iu

捕獲時間

2012-11-10

危害等級

中

病毒癥狀

　　　該樣本是使用“C/C ”編寫的“后門程序”，由微點主動防御軟件自動捕獲,長度為“76,632”字節，圖標為“
”，使用“exe”擴展名，通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是控制用戶系統。用戶中毒后，會出現網絡運行緩慢，網絡端口開啟，運行未知進程等現象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶，無須任何設置，微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版，微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”，請直接選擇刪除處理（如圖1）

圖1 微點主動防御軟件自動捕獲未知病毒（未升級）

如果您已經將微點主動防御軟件升級到最新版本，微點將報警提示您發現后門程序"Backdoor.Win32.Yoddos.iu”，請直接選擇刪除（如圖2）。

圖2   微點主動防御軟件升級后截獲已知病毒

未安裝微點主動防御軟件的手動解決辦法：

1.結束病毒進程" svchost.exe"

2.手動停止并刪除服務
"WinHelp329"

3.手動刪除文件
"%SystemRoot%\system32\WinHelp32.exe"


變量聲明：

%SystemDriver%　　　　　　　系統所在分區，通常為“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為“C:\Windows”
%Documents and Settings%　　用戶文檔目錄，通常為“C:\Documents and Settings”
%Temp%　　　　　　　　　　　臨時文件夾，通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles%　　　　　　　系統程序默認安裝目錄，通常為：“C:\ProgramFiles”

病毒分析：

1.獲取系統目錄，創建文件"C:\WINDOWS\temp\aa.exe"、"C:\WINDOWS\temp\bb.exe"、"C:\WINDOWS\temp\cc.exe"，寫入病毒數據，設置文件時間屬性。
2.分別執行文件"C:\WINDOWS\temp\aa.exe"、"C:\WINDOWS\temp\bb.exe"、"C:\WINDOWS\temp\cc.exe"。
3.執行"C:\WINDOWS\temp\Edit4"、"C:\WINDOWS\temp\Edit5"、"C:\WINDOWS\temp\Edit6"、 "C:\WINDOWS\temp\Edit7"、"C:\WINDOWS\temp\Edit8"、"C:\WINDOWS\temp\Edit9"，之后退出。
4.文件"C:\WINDOWS\Temp\cc.exe（或aa.exe、bb.exe）"執行之后：
(1)獲取系統目錄，將自身拷貝重命名為"C:\WINDOWS\system32\WinHelp32.exe"，并設置文件屬性為系統和隱藏。
(2)調用問文檔函數CreateProcessInternal，創建新進程執行文件"C:\WINDOWS\system32\WinHelp32.exe"。
(3)創建新進程執行"C:\WINDOWS\system32\cmd.exe /C del C:\WINDOWS\Temp\cc.exe > nul"，將自身刪除。
5."C:\WINDOWS\system32\WinHelp32.exe"執行之后：
(1)卸載模塊"kmon.dll（殺軟模塊）"。
(2)連接服務控制管理器，創建名字為"WinHelp329"的服務，顯示名稱為"Windows Help System9"，啟動類型為自動，執行映像指向"C:\WINDOWS\system32\WinHelp32.exe"，并設服務描述信息為"Windows Help System for X32 windows9 desktop"，之后啟動此服務。
6.服務"WinHelp329"啟動之后,以掛起的方式創建宿主進程"C:\WINDOWS\system32\svchost.exe"，將自身文件數據寫入到該進程地址空間并恢復執行。
7.病毒文件以宿主進程"svchost.exe"執行之后：
(1)創建名字為"O53XOLTBNN3W2MJTHEXGG33NHI4TSOJZ"的互斥對象，防止重復執行。
(2)每隔10秒鐘，創建新線程，解密網址"www.akwm1**.com:9999"，獲取處理器類型、操作系統版本、內存使用信息、本地區域信息等發送到該主機，并從該主機接收控制命令，對遠程主機發動洪水攻擊，并下載其他病毒文件執行。

1.病毒創建文件：

"%SystemRoot%\temp\aa.exe"
"%SystemRoot%\temp\bb.exe"
"%SystemRoot%\temp\cc.exe"
"%SystemRoot%\system32\WinHelp32.exe"

2.病毒刪除文件：

"%SystemRoot%\temp\aa.exe"
"%SystemRoot%\temp\bb.exe"
"%SystemRoot%\temp\cc.exe"

3.病毒訪問網絡：

"www.akwm1**.com:9999"