标题:
后门程序Backdoor.Win32.RCKing.a
[打印本页]
作者:
pioneer
时间:
2008-3-5 17:28
标题:
后门程序Backdoor.Win32.RCKing.a
病毒名称
Backdoor.Win32.RCKing.a
捕获时间
2008-03-05
病毒症状
该程序是一个后门程序,捆绑在名为“色情牛的故事.exe”图标为奶牛的软件中,由微点主动防御软件自动捕获,该后门采用UPX加壳方式压缩试图躲避特征码扫描,加壳后长度为180,304字节,使用IE图标,病毒扩展名为exe,在用户双击的时候被自动激活,通过文件捆绑的方式传播。
病毒分析
“色情牛的故事.exe”被运行后,在%temp%目录下查找是否存在cow.exe和ykw.exe文件,若不存在则在该目录下释放以上两个文件,并分别运行cow.exe(该程序为正常程序)和ykw.exe。
当ykm.exe运行后,拷贝自身到%systemroot%目录下,重命名为Internet Explorer.exe,修改文件属性为只读、隐藏和系统;调用SCM写注册表将病毒拷贝Internet Explorer.exe注册成名为Remote Cortrol King的服务,通过使用StartServiceA函数启动该服务;服务启动后通过API函数InternetOpenUrlA、InternetReadFile从网络空间上读取黑客所设置的IP地址和端口号,向该IP地址发送请求数据包,当建立连接后会根据不同的命令执行相应的动作,成为后门种植者的傀儡主机;后门种植者可做如下操作:捕捉远程计算机屏幕,开启远程TELNET,进行文件系统操作(包括复制、粘贴、新建、修改和删除文件或文件夹等),运行程序以及上传、下载文件,对进程进行管理,管理远程计算机注册表,远程控制命令。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马,文件捆绑
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-Dropper.Win32.RCKing.a"和“Backdoor.Win32.RCKing.a”,请直接选择删除(如图2)。
对于未使用微点主动防御软件的用户,微点反病毒专家建议
:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
[
Last edited by pioneer on 2008-3-5 at 17:29
]
作者:
pioneer
时间:
2008-3-5 17:29
技术细节
病毒修改的注册表项
:
项:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Remote Cortrol King
键值:Description
指向数据:Remote Cortrol King Service
项:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Remote Cortrol King
键值:DisplayName
指向数据:Remote Cortrol King
项:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Remote Cortrol King
键值:ImagePath
指向数据:%systemroot%\Internet Explorer.exe
项:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Remote Cortrol King
键值:Start
指向数据:02
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
