» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 网络红娘后门 Backdoor.Win32.RedGirl.n   作者: 标题: 网络红娘后门 Backdoor.Win32.RedGirl.n pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  网络红娘后门 Backdoor.Win32.RedGirl.n Backdoor.Win32.RedGirl.n 捕获时间 2008-12-18 病毒摘要 该样本是使用“VC”编写的木马后门程序，由微点主动防御软件自动捕获，程序未加壳,文件长度为“596,253字节”，图标为“”，使用“exe”扩展名，通过“网页木马”、“文件捆绑”途径植入用户计算机，运行后等待接受黑客特定指令来远程控制用户计算机。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马、文件捆绑 防范措施 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；           图1 微点主动防御软件自动捕获未知病毒（未升级） 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Backdoor.Win32.RedGirl.n”，请直接选择删除（如图2）。           图2   微点主动防御软件升级后截获已知病毒 对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 3、开启windows自动更新，及时打好漏洞补丁。 [ Last edited by pioneer on 2008-12-18 at 16:35 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-12-18 16:26 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   病毒分析 　　该样本程序被执行后，拷贝自身到系统目录%SystemRoot%\system32\下，名称为“564646.exe”，成功后立即使用一个带“1”参数的命令进行调用开启一个新进程实现其他操作，自身调用实现运行在%SystemRoot%\system32\目录下创建的 “tmp.bat” 批处理脚本，来删除病毒实现自身的隐藏：   Quote: echo off :delete del "C:\小盈的照照.EXE" if exist "C:\小盈的照照.EXE" goto delete del "C:\WINDOWS\system32\tmp.bat" echo on 　　 使用带“1”参数调用的“564646.exe”进程运行后，查找下列指定的杀软进程名，找到后尝试结束杀软进程：   Quote: avp.exe kwatch.exe rising.exe 　　释放名为“564646.dat”的文件到系统目录%SystemRoot%\system32\下，不断遍历查找下列关键字标题窗口，找到后尝试发送消息模拟鼠标点击躲过杀软对自身的拦截：   Quote: 瑞星主动防御 微点主动防御软件 修改系统时间为2000年，使部分杀软失效实现躲过对自身的查杀，创建下列的“15656456”服务：   Quote: 项： HKLM\SYSTEM\CurrentControlSet\Services\15656456 键值：ImagePath 数据：%SystemRoot%\System32\564646.exe -service 键值：Start 数据：2 创建成功后开启调用此服务，服务启动后，开启一个带“-service”运行起来的“564646.exe”进程，该进程实现与带“1”参数相同的操作后，开启一个“iexplore.exe”进程，并向其进程空间注入“564646.dat”，通过调用本机API函数“ZwQuerySystemInformation”实现隐藏，反向连接指定的控制方IP地址端口：   Quote: 59.**.236.55:2007 等待接受黑客指定命令，执行如下功能，将用户计算机变为傀儡主机：   Quote: 文件管理 注册表管理 进程管理 服务管理 窗口管理 超级终端 屏幕监控 屏幕控制 视频控制 语音监听 代理服务 洪水攻击 键盘记录 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-12-18 16:27 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号