beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

后門程序

Backdoor.Win32.PcClient.lgp

捕獲時間

2011-01-17

危害等級

中

病毒癥狀

  該樣本是使用VC 編寫的后門程序，由微點主動防御軟件自動捕獲，長度為“18,083 字節(jié)”，圖標(biāo)為“”，病毒擴(kuò)展名為“exe”，主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播，病毒主要目的為設(shè)立后門，使用戶電腦淪為傀儡主機(jī)。
　　用戶中毒后，可能會出現(xiàn)計算機(jī)無故重啟、關(guān)閉，重要文件丟失，系統(tǒng)及網(wǎng)絡(luò)緩慢、程序無故關(guān)閉、出現(xiàn)各類病毒等導(dǎo)致用戶隱私泄露及影響用戶使用的現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網(wǎng)頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶，無須任何設(shè)置，微點主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本，微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版，微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜”，請直接選擇刪除處理（如圖1）

圖1 微點主動防御軟件自動捕獲未知病毒（未升級）

如果您已經(jīng)將微點主動防御軟件升級到最新版本，微點將報警提示您發(fā)現(xiàn)木馬"Backdoor.Win32.PcClient.lgp”，請直接選擇刪除（如圖2）。

圖2   微點主動防御軟件升級后截獲已知病毒

未安裝微點主動防御軟件的手動解決辦法：

1、手動刪除以下文件：

%SystemRoot%\system32\sample.exe
%SystemRoot%\xBack.dll

2、手動刪除以下注冊表項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名稱：xBack 數(shù)據(jù)：%SystemRoot%\system32\sample.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名稱：xBack 數(shù)據(jù)：%SystemRoot%\system32\sample.exe

變量聲明：

%SystemDriver%　　　　　　　　　系統(tǒng)所在分區(qū)，通常為“C:\”
%SystemRoot%　　　　　　　　　　系統(tǒng)所在目錄，通常為“C:\Windows”
%Documents and Settings%　　　　用戶文檔目錄，通常為“C:\Documents and Settings”
%Temp%　　　　　　　　　　　　　臨時文件夾，通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles%　　　　　　　　　系統(tǒng)程序默認(rèn)安裝目錄，通常為：“C:\ProgramFiles”

病毒分析

1、在系統(tǒng)%SystemRoot%目錄下創(chuàng)建動態(tài)庫文件xBack.dll；
2、將自身復(fù)制到%SystemRoot%\system32目錄下；
3、建立注冊表項HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run指向復(fù)制到%SystemRoot%\system32目錄下的病毒，以實現(xiàn)開機(jī)自啟動；
4：創(chuàng)建進(jìn)程快照，遍歷進(jìn)程查找EXPLORER.EXE進(jìn)程；將xBack.dll注入到期explorer.exe進(jìn)程里，以“PlayWork”為參數(shù)加載該動態(tài)庫；
5、xBack.dll加載后，創(chuàng)建消息鉤子，記錄用戶鍵盤信息，將用戶網(wǎng)卡，驅(qū)動器卷標(biāo)，用戶機(jī)器名等信息發(fā)送到黑客指定網(wǎng)址；連接病毒網(wǎng)絡(luò)，讀取病毒網(wǎng)絡(luò)信息，用戶電腦成為傀儡；

病毒創(chuàng)建文件：

%SystemRoot%\system32\sample.exe
%SystemRoot%\xBack.dll

病毒創(chuàng)建注冊表：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名稱：xBack 數(shù)據(jù)：%SystemRoot%\system32\sample.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名稱：xBack 數(shù)據(jù)：%SystemRoot%\system32\sample.exe
　　　
病毒訪問網(wǎng)絡(luò)：

121.***.169.81:33388