后門程序Backdoor.Win32.SdBot.fjg
Backdoor.Win32.SdBot.fjg
捕獲時間
2009-1-4
病毒摘要
該樣本是使用“VC ”編寫的后門程序���,由微點主動防御軟件自動捕獲����,采用“Armadillo”加殼方式,企圖躲過特征碼掃描,長度為“52,786 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“誘騙用戶點擊”�、“網頁掛馬”���、“文件捆綁”等方式傳播���,病毒將建立IRC后門連接,下載病毒至用戶主機運行�����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置�,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�����。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知后門程序”����,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本���,微點將報警提示您發現"Backdoor.Win32.SdBot.fjg”,請直接選擇刪除(如圖2)��。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝���,避免病毒通過捆綁的方式進入您的系統。
2����、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺����,并開啟防火墻攔截網絡異常訪問���,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持��。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,將創建雙進程�����,進行數據解密��,彈出窗口���,誘騙用戶:
隨后釋放文件“fxstaller.exe”至系統文件夾“%SystemRoot%”����,通過函數SetFileAttributes修改文件屬性為:“系統”�����、“隱藏”����、“只讀”;修改注冊表項���,將“fxstaller.exe”設置為自啟動項,相關注冊表項如下:
| |
項:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”
鍵:“Windows UDP Control Center”
數據:“fxstaller.exe” |
|
樣本將啟動“fxstaller.exe”�, “fxstaller.exe”啟動后將創建雙進程�����,進行數據解密���,將連接IRC服務器“hub1.pr**8net.com”�,下載病毒文件“193.***.**.121/spc.gif”,另存為“spc.exe”至系統磁盤“%SystemDrive%”并立即運行。
“fxstaller.exe”將遍歷MSN聊天窗口�,將自身重命名為“IMG***.jpg-www.photo.com”至“%Temp%”文件夾���,利用函數VkKeyScan模擬鍵盤�,通過模擬點擊�����,向用戶其他好友發送自身����,以擴大感染范圍���。
