标题:
后门程序Backdoor.Win32.RemoteABC.bo
[打印本页]
作者:
pioneer
时间:
2008-8-27 15:38
标题:
后门程序Backdoor.Win32.RemoteABC.bo
Backdoor.Win32.RemoteABC.bo
捕获时间
2008-08-27
病毒摘要
该样本是使用“Delphi”编写的后门程序,由微点主动防御软件自动捕获,采用加壳方式试图躲避特征码扫描,加壳后长度为“329,728 字节”,图标为
,使用“exe”扩展名,通过“欺骗用户”、“文件捆绑”等途径植入用户计算机,一旦该后门成功执行计算机所有功能将被黑客控制。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Backdoor.Win32.RemoteABC.bo”,请直接选择删除(如图2)。
对于未使用微点主动防御软件的用户,微点反病毒专家建议
:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
作者:
pioneer
时间:
2008-8-27 15:40
病毒分析
该样本程序被执行后,在 C:\Program Files\下创建目录“Remote”,拷贝自身到此目录下,重命名为“RemoteAbc.exe”;通过SCM将病毒拷贝“RemoteAbc.exe”注册成名为“13”的服务,启动服务后以批处理的方式将病毒原文件删除。
Quote:
项:HKLM\SYSTEM\CurrentControlSet\Services\13\
键值:DisplayName
指向数据:12
项:HKLM\SYSTEM\CurrentControlSet\Services\13\
键值:ImagePath
指向文件:C:\Program Files\Remote\RemoteAbc.exe
项:HKLM\SYSTEM\CurrentControlSet\Services\13\
键值:Start
指向数据:02
病毒主程序运行后,后台启动IE联网下载木马“
http://222.
***.82.118/1.gif-6.gif”以及“
http://222.
***.28.100/10.gif-15.gif”;同时开启多个线程与黑客进行通讯,接受黑客的控制,使被病毒感染主机伦为傀儡主机。
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
