Board logo

标题: 后门程序Backdoor.Win32.Ceckno.az [打印本页]
作者: pioneer     时间: 2007-12-10 17:29    标题: 后门程序Backdoor.Win32.Ceckno.az

病毒名称

Backdoor.Win32.Ceckno.az

捕获时间

2007-12-8

病毒症状      
  
      该病毒是一个使用Delphi语言编写的后门程序,长度462,848字节,图标为WINDOWS默认图标,病毒扩展名为exe,主要的传播途径为网页挂马,文件捆绑,黑客攻击。

病毒分析   

      该样本程序被激活后,将在%systemroot%\system32下生成sysn.dll文件,在C:\Documents and Settings\All Users\Favorites下生成netservice.exe病毒主体文件,以及在Favorites下的plungin目录中生成001.dll文件;接着修改HKLM下的winlogon相关注册表项,使得病毒程序能在系统启动时运行;之后病毒将利用SCM(服务管理器)在注册表中新建一个利用svchost启动名为netrt,描述为“远程管理软件描述信息”,显示名为“Remote network Service”的服务;接着病毒开启一个进程运行netservice.exe程序并利用命令行将自己删除;
netservice.exe运行后将开启netrt服务;服务启动后,将与外界黑客进行连接,接受黑客控制,使得黑客可以获取用户计算机上的所有资料,复制或删除任何的文件,或利用用户的计算机资源做其它的破坏性活动;

感染对象

Windows 95/ Windows 98/ Windows ME/Windows 2000/Windows XP/ Windows 2003/Windows vista

传播途径

网页挂马,文件捆绑,黑客攻击


安全提示
  
      已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);




                                图1

 如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Backdoor.Win32.Ceckno.az”,请直接选择删除(如图2)。




                                图2

未使用微点主动防御软件的用户:
  
      1、专家建议不要在不明站点下载非官方版本的程序软件进行安装,以便病毒通过捆绑的方式进入您的系统;
  
      2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

  3、开启windows自动更新,及时打好漏洞补丁。
作者: pioneer     时间: 2007-12-10 17:35
技术细节


病毒添加的注册表项:
项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
键值:userinit
指向文件:C:\WINDOWS\system32\userinit.exe,
"C:\Documents and Settings\All Users\Favorites\netservice.exe"un userinit.exe{0x00}

项:HKLM\SYSTEM\CurrentControlSet\Services\netrt
键值:ImagePath
指向文件:C:\WINDOWS\system32\svchost.exe -k network

项:HKLM\SYSTEM\CurrentControlSet\Services\netrt\Parameters
键值:ServiceDll
指向文件:%systemroot%\system32\sysn.dll



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn