Board logo

标题: 后门程序 Backdoor.Win32.Prosti.iu [打印本页]
作者: pioneer     时间: 2007-9-27 18:23    标题: 后门程序 Backdoor.Win32.Prosti.iu

病毒名称

Backdoor.Win32.Prosti.iu

捕获时间

2007-9-24

病毒症状

      该病毒是一个使用Delphi7.0编写的后门程序,经过加壳长度为140,800 字节,图标为IE图标,主要通过、文件欺骗、网页木马等多种方式传播

病毒分析

       该后门程序激活后,拷贝病毒文件offices.exe到%SystemRoot%\system32\目录下,并添加注册表启动项,在explorer.exe被加载时自动加载;执行病毒主程序offices.exe,遍历系统进程查找explorer.exe,将offices.dll作为远程线程写入;offices.dll执行黑客后门动作,连接********.3322.org的8080端口接收黑客指令,被控制主机将沦陷为黑客的“肉鸡”,黑客可以随便对被安装后门的主机进行文件管理、注册表管理、远程shell等操作,还可以利用该主机作为跳板对其他主机发起DDoS的攻击。

中毒现象

在黑客控制中网速缓慢、文件可能被修改会丢失

病毒注册表启动项:

项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
键值:shell
指向文件:explorer.exe,%SystemRoot%\system32\offices.exe
注:该注册表键值指向文件常规为explorer.exe,在清除时务必保留正常键值

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑

安全提示

      已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该后门程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍”,请直接选择删除处理(如图1);



                     图1

      如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现Backdoor.Win32.Prosti.iu”,请直接选择删除(如图2)。




                     图2

      使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

      没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn