后門程序
Backdoor.Win32.IRCBot.fyc
捕獲時(shí)間
2012-09-27
危害等級(jí)
中
病毒癥狀
該樣本是使用“C/C ”編寫的“后門程序”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,長(zhǎng)度為“43,520”字節(jié)�,圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過移動(dòng)存儲(chǔ)���、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是控制用戶系統(tǒng)���。用戶中毒后,會(huì)出現(xiàn)網(wǎng)絡(luò)運(yùn)行緩慢,網(wǎng)絡(luò)端口開啟�����,運(yùn)行未知進(jìn)程等現(xiàn)象��。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁����、網(wǎng)頁掛馬�、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置�,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�����。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”����,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本����,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)后門程序"Backdoor.Win32.IRCBot.fyc”�����,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.將文件"%SystemRoot%\system32\drivers\etc\hosts"用正常文件替換
2.手動(dòng)刪除文件
"%Documents and Settings%\Administrator\Application Data\svschost.exe"
"%Documents and Settings%\Administrator\Application Data\ctfmon.exe"
"%Documents and Settings%\Administrator\Application Data\tempV0_n9[k4]k-o.tmp"
目錄"*:\DATABLOCK(*為移動(dòng)磁盤盤符)"及其中所有文件
"*:\autorun.inf(*為移動(dòng)磁盤盤符)"
3.手動(dòng)刪除鍵值項(xiàng)
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ system\EnableLUA"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Firewall"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Firewall"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\Microsoft Windows Firewall"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\ctfmon.exe"
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)��,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄��,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.設(shè)置鍵值項(xiàng)"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ EnableLUA" = 0�,禁用用戶賬戶控制功能���。
2.創(chuàng)建名字為"V0_n9[k4]k-o"的互斥對(duì)象�����,防止重復(fù)運(yùn)行。
3.獲取系統(tǒng)目錄�,向文件"C:\WINDOWS\system32\drivers\etc\hosts"寫入病毒數(shù)據(jù)�,屏蔽對(duì)指定網(wǎng)絡(luò)的訪問�����,如"avg.com"���、"avp.com"�����、"download.mcafee.com"、"kaspersky-labs.com"���、"viruslist.com"、"bitdefender.com"�����、"liveupdate.symantecliveupdate.com"����、"my-etrust.com"、"updates.symantec.com"�����、"virscan.org"等�����。
4.將自身拷貝重命名為"C:\Documents and Settings\Administrator\Application Data\svschost.exe"�,設(shè)置文件屬性為只讀�����、系統(tǒng)���、隱藏���。
5.創(chuàng)建新進(jìn)程�����,執(zhí)行文件"C:\Documents and Settings\Administrator\Application Data\svschost.exe"。
6."C:\Documents and Settings\Administrator\Application Data\svschost.exe"執(zhí)行之后:
創(chuàng)建新線程�����,每隔一秒鐘執(zhí)行步驟(1)(2):
(1)設(shè)置鍵值項(xiàng)"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Firewall" = "C:\Documents and Settings\Administrator\Application Data\svschost.exe"���、
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Firewall" = "C:\Documents and
Settings\Administrator\Application Data\svschost.exe"��,實(shí)現(xiàn)病毒開機(jī)自啟動(dòng)。
(2)設(shè)置鍵值項(xiàng)"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\Microsoft Windows Firewall" = "C:\Documents and
Settings\Administrator\Application Data\svschost.exe"���,將病毒文件添加到防火墻授權(quán)訪問列表。
(3)將自身拷貝重命名為"C:\Documents and Settings\Administrator\Application Data\ctfmon.exe"�,設(shè)置文件屬性為只讀���、系統(tǒng)�����、隱藏。
(4)設(shè)置鍵值項(xiàng)"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe" = "C:\Documents and Settings\Administrator\Application Data\ctfmon.exe"�����、
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe" = "C:\Documents and
Settings\Administrator\Application Data\ctfmon.exe"��,實(shí)現(xiàn)病毒開機(jī)自啟動(dòng)�。
(5)設(shè)置鍵值項(xiàng)"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\ctfmon.exe" = "C:\Documents and Settings\Administrator\
Application Data\ctfmon.exe"�,將病毒文件添加到防火墻授權(quán)訪問列表。
(6)創(chuàng)建進(jìn)程快照,查找進(jìn)程"svschost.exe"�,將病毒數(shù)據(jù)寫入該進(jìn)程地址空間并執(zhí)行�。
創(chuàng)建新線程��,執(zhí)行步驟(7)(8):
(7)試圖關(guān)閉標(biāo)題為"Windows Security Alert"���、"BitDefender Firewall Alert"的窗口���。
(8)遍歷所有可移動(dòng)設(shè)備����,并在其中創(chuàng)建目錄"*:\DATABLOCK\System(*為移動(dòng)磁盤盤符)"及文件"*:\DATABLOCK\System\Desktop.ini"�����、"*:\autorun.inf",并將自身拷貝重命名為"*:\DATABLOCK\System\DATABLOCK.EXE",之后設(shè)置該目錄及文件屬性為只讀�、系統(tǒng)����、隱藏�,以此通過可移動(dòng)磁盤自動(dòng)運(yùn)行并傳播。
(9)創(chuàng)建套接字�,連接到遠(yuǎn)程主機(jī)"xlaa***.no-ip.info"�����,獲取計(jì)算機(jī)名���、本地區(qū)域信息���、操作系統(tǒng)版本等信息發(fā)送到該主機(jī)�,并從該主機(jī)接收數(shù)據(jù)����,受控于該主機(jī)。
(10)創(chuàng)建文件"C:\Documents and Settings\Administrator\Application Data\tempV0_n9[k4]k-o.tmp",寫入記錄數(shù)據(jù)�����。
病毒創(chuàng)建文件:
"%Documents and Settings%\Administrator\Application Data\svschost.exe"
"%Documents and Settings%\Administrator\Application Data\ctfmon.exe"
"%Documents and Settings%\Administrator\Application Data\tempV0_n9[k4]k-o.tmp"
"*:\DATABLOCK\System\Desktop.ini(*為移動(dòng)磁盤盤符)"
"*:\autorun.inf(*為移動(dòng)磁盤盤符)"
"*:\DATABLOCK\System\DATABLOCK.EXE(*為移動(dòng)磁盤盤符)"
病毒修改文件:
"%SystemRoot%\system32\drivers\etc\hosts"
病毒修改注冊(cè)表:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ EnableLUA"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Firewall"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Firewall"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\Microsoft Windows Firewall"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\ctfmon.exe"
病毒訪問網(wǎng)絡(luò):
"xlaa***.no-ip.info"
