标题:
后门程序Backdoor.Win32.RedGirl.j
[打印本页]
作者:
pioneer
时间:
2008-2-24 23:15
标题:
后门程序Backdoor.Win32.RedGirl.j
病毒名称
Backdoor.Win32.RedGirl.j
捕获时间
2008-2-24
病毒症状
该样本是一个使用VC++语言编写的程序,长度320,773字节,图标为WINDOWS默认图标,病毒扩展名为exe,主要传播途径为网页挂马、文件捆绑。
病毒分析
该样本程序被激活后复制自身到%systemroot%\system32目录下并重命名为RedGirl.exe;释放RedGirl..dat(实为RedGirl..dll)到%systemroot%\system32目录下后删除自身;通过调用SCM将RedGirl.exe注册为服务;更改系统时间试图使部分杀软失效,通过鼠标模拟点击试图突破主动防御杀软的限制;将RedGirl..dat注入到一个在后台开启的IE中;通过调用ZwQuerySystemInformation本机API函数实现在任务管理器中隐藏;发送数据包与黑客连接,接受黑客指令,作为黑客傀儡肉鸡,可实现DDOS攻击,键盘鼠标记录等功能。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马,文件捆绑
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Backdoor.Win32.RedGirl.j”,请直接选择删除(如图2)。
对于未使用微点主动防御软件的用户,微点反病毒专家建议
:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
作者:
pioneer
时间:
2008-2-24 23:16
技术细节
病毒添加的注册表项
:
项:HKLM\SYSTEM\CurrentControlSet\Services\
键值:RedGirl
指向文件:%systemroot%\system32\RedGirl.exe -service
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
