beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

后門(mén)

Backdoor.Win32.Magania.tz

捕獲時(shí)間

2012-04-24

危害等級(jí)

中

病毒癥狀

   該樣本是使用“MFC”編寫(xiě)的后門(mén)程序，由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲, 采用“UPX”加殼方式，企圖躲避特征碼掃描，加殼后長(zhǎng)度為“88,064”字節(jié)，圖標(biāo)“”，使用“exe”擴(kuò)展名，通過(guò)文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是控制用戶機(jī)器，竊取用戶信息。用戶中毒后，會(huì)出現(xiàn)網(wǎng)絡(luò)運(yùn)行緩慢，網(wǎng)絡(luò)端口開(kāi)啟，運(yùn)行未知進(jìn)程等現(xiàn)象

感染對(duì)象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶，無(wú)須任何設(shè)置，微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本，微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版，微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”，請(qǐng)直接選擇刪除處理（如圖1）

圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒（未升級(jí)）

如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本，微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Backdoor.Win32.Magania.tz”，請(qǐng)直接選擇刪除（如圖2）。

圖2   微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒

未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法：

手動(dòng)刪除以下文件：

"C:\WINDOWS\system32\thvjdk1.dat"
"%SystemRoot%\system32\thvjdk2.dat"
"%SystemRoot%\system32\thvjdk3.dat"
"%SystemRoot%\system32\thvjdk4.dat"
"%SystemRoot%\system32\thvjdk5.dat"
"%ProgramFiles%\bnvjei\tiaiqvsem.dll"（文件名隨機(jī)）


變量聲明：

　　%SystemDriver%　　　　　　　系統(tǒng)所在分區(qū)，通常為“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為“C:\Windows”
　　%Documents and Settings%　　用戶文檔目錄，通常為“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　臨時(shí)文件夾，通常為“C:\Documents and Settings\當(dāng)前用戶名稱(chēng)\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系統(tǒng)程序默認(rèn)安裝目錄，通常為：“C:\ProgramFiles”

病毒分析：

1.        枚舉進(jìn)程360tray.exe（360殺毒軟件）、ravmond.exe（瑞星殺毒軟件）、qqpctray.exe（QQ安全管家）。
2.        獲取windows系統(tǒng)目錄，如果存在文件"C:\WINDOWS\system32\thvjdk1.dat" 、"C:\WINDOWS\system32\thvjdk2.dat"、"C:\WINDOWS\system32\thvjdk3.dat"、"C:\WINDOWS\system32\thvjdk4.dat"、"C:\WINDOWS\system32\thvjdk5.dat"，則將這些文件刪除，否則就創(chuàng)建，之后將字符串"121.12.117.2:54321/safe"寫(xiě)入文件thvjdk1.dat，將字符串"121.12.117.2:54321/f/01"寫(xiě)入thvjdk2.dat，將字符串"01"寫(xiě)入thvjdk5.dat，然后將這些文件的屬性都設(shè)置為系統(tǒng)和隱藏。
3.        創(chuàng)建目錄"C:\Program Files\bnvjei\"，如果文件"C:\Program Files\bnvjei\tiaiqvsem.dll"存在，則將其刪除，并重新創(chuàng)建此文件，并將PE文件數(shù)據(jù)寫(xiě)入到此文件。
4.        獲取當(dāng)前系統(tǒng)可用協(xié)議信息，將"C:\Program Files\bnvjei\tiaiqvsem.dll"作為網(wǎng)絡(luò)傳輸服務(wù)提供者安裝到系統(tǒng)當(dāng)中，實(shí)現(xiàn)木馬進(jìn)程和端口的隱藏，竊取用戶信息。
5.執(zhí)行命令刪除自身。

病毒創(chuàng)建文件：

"C:\WINDOWS\system32\thvjdk1.dat"
"C:\WINDOWS\system32\thvjdk2.dat"
"C:\WINDOWS\system32\thvjdk3.dat"
"C:\WINDOWS\system32\thvjdk4.dat"
"C:\WINDOWS\system32\thvjdk5.dat"
"C:\Program Files\bnvjei\tiaiqvsem.dll"（文件名隨機(jī)）