Board logo

标题: 特洛伊木马Backdoor.Win32.GWGirl.a [打印本页]
作者: pioneer     时间: 2010-3-25 22:38    标题: 特洛伊木马Backdoor.Win32.GWGirl.a

特洛伊木马

Backdoor.Win32.GWGirl.a

捕获时间

2010-3-25

危害等级



病毒症状

   该样本是使用“Dephi”编写的“后门程序”,由微点主动防御软件自动捕获,采用“ASPack”加壳方式试图躲避特征码扫描,加壳后长度为“119,808”字节,图标为“
”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是安装后门,控制用户机器。
   用户中毒后会出现网络速度缓慢,杀毒软件无故关闭,摄像头无故开启,重要资料丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

网页挂马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知后门程序“,请直接选择删除处理(如图1);


图1 微点主动防御软件自动捕获未知病毒(未升级)




如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Backdoor.Win32.GWGirl.a”,请直接选择删除(如图2)。


图2   微点主动防御软件升级后截获已知病毒




未安装微点主动防御软件的手动解决办法

1.手动删除以下文件

%SystemDriver%\system32\DIAGCFG.EXE
%SystemDriver%\system32\MSIESMTP.DLL

2.手动删除注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F25B7730-F25B-7730-F25B-7730F25B7730}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键名:Diagnostic Conofiguration 32
值:C:\Windows\System32 \IDAGCFG.EXE

3.手动修复以下注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
键名:默认
数据:C:\WINDOWS\system32\DIAGCFG.EXE  “1%” %*  
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
键名:默认
数据:C:\WINDOWS\system32\DIAGCFG.EXE  “1%” %*
将数据项中的字符串“C:\WINDOWS\system32\DIAGCFG.EXE”去掉

变量声明:

  %SystemDriver%       系统所在分区,通常为“C:\”
  %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
  %Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
  %Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
  %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”
作者: pioneer     时间: 2010-3-25 22:41
病毒分析
       
1. 释放病毒文件%SystemDriver%\GWS00.TMP, %SystemDriver%\GWS01.TMP并将其拷贝到%SystemDriver%\system32目录下分别重命名为“DIAGCFG.EXE”, “MSIESMTP.DLL”并删除GWS00.TMP,GWS01.TMP.创建注册表项,挂钩注册表.
2. 以“-install”参数运行DIAGCFG.EXE.
3. 遍历进程查找并关闭安全软件进程“kav9x.exe” ,“pfw.exe”。
4. 循环改写注册表,将自身写入到注册表,等待网络连接,如果网络可用绑定端口,连接到黑客主机任由黑客控制。
  
病毒创建文件

%SystemDriver%\system32\DIAGCFG.EXE
%SystemDriver%\system32\MSIESMTP.DLL  
%SystemDriver%\GWS00.TMP
%SystemDriver%\GWS01.TMP

病毒创建注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F25B7730-F25B-7730-F25B-7730F25B7730}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键名:Diagnostic Conofiguration 32
值:C:\Windows\System32 \IDAGCFG.EXE

病毒改写注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
键名:默认
原数据:“1%” %*  
新数据:C:\WINDOWS\system32\DIAGCFG.EXE  “1%” %*  

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
键名:默认
原数据:“1%” %*  
新数据:C:\WINDOWS\system32\DIAGCFG.EXE  “1%” %*

病毒删除文件

%SystemDriver%\GWS00.TMP
%SystemDriver%\GWS01.TMP



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn