捕獲時間
2008-09-18
病毒摘要
該樣本是使用“VC”編寫的“后門程序”,由微點主動防御軟件自動捕獲����,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“52,256 字節”,圖標為 , 使用“ exe”擴展名,通過“網頁木馬”、“下載器下載”等途徑植入用戶計算機��,病毒運行與黑客進行通訊遠程控制用戶計算機�����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�����、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1)��;
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本����,微點將報警提示您發現" Backdoor.Win32.SFind.a”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�����,微點反病毒專家建議:
1���、不要在不明站點下載非官方版本的軟件進行安裝��,避免病毒通過捆綁的方式進入您的系統���。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺��,并開啟防火墻攔截網絡異常訪問��,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持��。
3、開啟windows自動更新�����,及時打好漏洞補丁�。
病毒分析
該樣本程序被執行后,判斷自身是否處于虛擬機環境中�,如果是則結束自身防止被調試與分析��;查找目錄%SystemRoot%\system32\下是否存在文件“AutoUpdate.exe”,如存在則將其注冊成名為“UpdateSrv”的服務并使用相關API函數啟動此服務��;否則拷貝自身到此目錄下重命名為“AutoUpdate.exe”,使用函數CreateProcessA啟動此病毒拷貝��;在同一目錄下釋放動態鏈接庫文件“AutoUpdate.dll”���,修改上述文件創建時間為“2004年”以增強隱蔽性��;提權后查找進程“lsass.exe”申請空間將動態庫文件“AutoUpdate.dll”寫入����,創建遠程線程在該進程中開啟一本地線程����;在目錄%SystemRoot%\system32\drivers\下釋放驅動文件“AutoUpdate.sys”并將其注冊成名為“usbmouseb”的服務,修改SSDT表掛鉤相關系統服務隱藏自身注冊表和文件,后使用批處理執行自刪除。
|
|
項:HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
鍵值:DisplayName
指向數據:UpdateSrv
項:HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
鍵值:ImagePath
指向數據:C:\WINDOWS\SYSTEM32\AutoUpdate.exe -u
項:HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
鍵值:Start
指向數據:02 |
|
動態庫文件“AutoUpdate.dll”被加載運行后,從IP地址“61.164.102.90”讀取后門種植者所設置的反彈連接“IP地址”與“端口號”進行反向連接���,連接成功后開啟多個線程與黑客進行通訊,接受黑客的控制并從IP“ 116.252.185.15”的網站下載木馬執行,使被病毒感染主機倫為傀儡主機���。
|
