beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點新聞  |  業(yè)界動態(tài)  |  安全資訊  |  安全快報  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點社區(qū)  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

后門程序Backdoor.Win32.Yoddos.bu
來源:  2011-04-19 16:50:08

后門程序

Backdoor.Win32.Yoddos.bu

捕獲時間

2011-04-19

危害等級



病毒癥狀

  該樣本是使用“C/C ”編寫的木馬程序,由微點主動防御軟件自動捕獲,采用"UPX"加殼方式試圖躲避特征碼掃描,加殼后長度為“17,920”字節(jié),圖標(biāo)為“”,病毒擴(kuò)展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播,病毒主要目的是建立后門使用戶電腦淪為傀儡。
  用戶中毒后,會出現(xiàn)系統(tǒng)運行緩慢、存在大量未知可疑進(jìn)程、系統(tǒng)重要資料丟失、網(wǎng)絡(luò)堵塞等現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網(wǎng)頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1)

 

圖1 微點主動防御軟件自動捕獲未知病毒(未升級)



如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Backdoor.Win32.Yoddos.bu”,請直接選擇刪除(如圖2)。

 

圖2   微點主動防御軟件升級后截獲已知病毒



未安裝微點主動防御軟件的手動解決辦法:

1.手動停止并刪除名為"WinHelp32"的可以服務(wù)項目。
2.手動刪除以下文件:
C:\WINDOWS\system32\WinHelp32.exe
3.手動刪除以下注冊項:
HKLM\System\CurrentControlSet\Services\WinHelp32
名稱:ImagePath
數(shù)據(jù):C:\WINDOWS\system32\WinHelp32.exe

變量聲明:

%SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp%           臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析

1.該樣本運行后,設(shè)置自身進(jìn)程的報錯模式,使病毒運行更加隱蔽。
2.嘗試獲得模塊名為"kmon.dll"的模塊,并將其卸載。
3.獲取本機系統(tǒng)路徑以及自身路徑,比較自身是否是"C:\WINDOWS\system32\WinHelp32.exe"、"C:\WINDOWS\system32\svchost.exe"。       
4.若均不是以上文件路徑,則復(fù)制自身到系統(tǒng)目錄下,并更名為"WinHelp32.exe",并設(shè)置文件屬性為系統(tǒng)、隱藏。
5.創(chuàng)建進(jìn)程運行"C:\WINDOWS\system32\WinHelp32.exe",最后通過運行命令行方式刪除病毒源文件。
6.WinHelp2.exe運行后,嘗試運行名為""WinHelp32.exe""的進(jìn)程,若打開失敗則打開服務(wù)管理器。
7.創(chuàng)建名為"WinHelp32"、自動啟動類型的服務(wù),并啟動該服務(wù)。
8.服務(wù)啟動之后,創(chuàng)建名為"M52W6Z3VN5ZWELRTGMZDELTPOJTTUNZWHE2A===="的互斥體對象防止重復(fù)運行。
9.初始化socket,連接黑客指定網(wǎng)址,收集本機硬件、系統(tǒng)信息發(fā)送給黑客以便進(jìn)行感染統(tǒng)計,然后創(chuàng)建線程等待黑客的下一步命令。

病毒創(chuàng)建文件:

%SystemRoot%\system32\WinHelp32.exe
       
病毒修改注冊表:

HKLM\System\CurrentControlSet\Services\WinHelp32
名稱:ImagePath
數(shù)據(jù):C:\WINDOWS\system32\WinHelp32.exe

病毒訪問網(wǎng)絡(luò):

gu***osb.3***.org
相關(guān)主題:
沒有相關(guān)主題

免費體驗
下  載
安裝演示