捕獲時間
2009-1-18
病毒摘要
該樣本是使用“VC”編寫的木馬后門程序,由微點主動防御軟件自動捕獲,程序未加殼,文件長度為“596,253字節”,圖標為“
”,使用“exe”擴展名,通過“網頁木馬”、“文件捆綁”、“誘騙用戶點擊”等途徑植入用戶計算機,運行后等待接受黑客特定指令來遠程控制用戶計算機。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Backdoor.Win32.RedGirl.o”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,拷貝自身到系統目錄%SystemRoot%\system32\下,名稱為“wscsc.exe”,成功后立即使用一個帶“1”參數的命令進行調用開啟一個新進程實現其他操作,自身調用實現運行在%SystemRoot%\system32\目錄下創建的 “tmp.bat” 批處理腳本,來刪除病毒實現自身的隱藏:
| |
echo off
:delete
del "C:\sample.exe"
if exist " C:\sample.exe " goto delete
del "C:\WINDOWS\system32\tmp.bat"
echo on |
|
使用帶“1”參數調用的“wscsc.exe”進程運行后,查找下列指定的殺軟進程名,找到后嘗試結束殺軟進程:
| |
avp.exe
kwatch.exe
rising.exe |
|
釋放名為“wscsc.dat”的文件到系統目錄%SystemRoot%\system32\下,不斷遍歷查找下列關鍵字標題窗口,找到后嘗試發送消息模擬鼠標點擊躲過殺軟對自身的攔截:
修改系統時間為2000年,使部分殺軟失效實現躲過對自身的查殺,創建下列的“15656456”服務:
| |
鍵:HKLM\SYSTEM\CurrentControlSet\Services\wscsc
值:ImagePath
數據:%SystemRoot%\System32\wscsc.exe -service
值:Start
數據:2 |
|
創建成功后開啟調用此服務,服務啟動后,開啟一個帶“-service”運行起來的“wscsc.exe”進程,該進程實現與帶“1”參數相同的操作后,開啟一個“iexplore.exe”進程,并向其進程空間注入“wscsc.dat”,通過調用本機API函數“ZwQuerySystemInformation”實現隱藏,反向連接指定的控制方IP地址端口,等待接受黑客指定命令,執行如下功能,將用戶計算機變為傀儡主機:
| |
文件管理
注冊表管理
進程管理
服務管理
窗口管理
超級終端
屏幕監控
屏幕控制
視頻控制
語音監聽
代理服務
洪水攻擊
鍵盤記錄 |
|
