捕获时间
2009-1-18
病毒摘要
该样本是使用“VC”编写的木马后门程序,由微点主动防御软件自动捕获,程序未加壳,文件长度为“596,253字节”,图标为“
”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”、“诱骗用户点击”等途径植入用户计算机,运行后等待接受黑客特定指令来远程控制用户计算机。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Backdoor.Win32.RedGirl.o”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,拷贝自身到系统目录%SystemRoot%\system32\下,名称为“wscsc.exe”,成功后立即使用一个带“1”参数的命令进行调用开启一个新进程实现其他操作,自身调用实现运行在%SystemRoot%\system32\目录下创建的 “tmp.bat” 批处理脚本,来删除病毒实现自身的隐藏:
| |
echo off
:delete
del "C:\sample.exe"
if exist " C:\sample.exe " goto delete
del "C:\WINDOWS\system32\tmp.bat"
echo on |
|
使用带“1”参数调用的“wscsc.exe”进程运行后,查找下列指定的杀软进程名,找到后尝试结束杀软进程:
| |
avp.exe
kwatch.exe
rising.exe |
|
释放名为“wscsc.dat”的文件到系统目录%SystemRoot%\system32\下,不断遍历查找下列关键字标题窗口,找到后尝试发送消息模拟鼠标点击躲过杀软对自身的拦截:
修改系统时间为2000年,使部分杀软失效实现躲过对自身的查杀,创建下列的“15656456”服务:
| |
键:HKLM\SYSTEM\CurrentControlSet\Services\wscsc
值:ImagePath
数据:%SystemRoot%\System32\wscsc.exe -service
值:Start
数据:2 |
|
创建成功后开启调用此服务,服务启动后,开启一个带“-service”运行起来的“wscsc.exe”进程,该进程实现与带“1”参数相同的操作后,开启一个“iexplore.exe”进程,并向其进程空间注入“wscsc.dat”,通过调用本机API函数“ZwQuerySystemInformation”实现隐藏,反向连接指定的控制方IP地址端口,等待接受黑客指定命令,执行如下功能,将用户计算机变为傀儡主机:
| |
文件管理
注册表管理
进程管理
服务管理
窗口管理
超级终端
屏幕监控
屏幕控制
视频控制
语音监听
代理服务
洪水攻击
键盘记录 |
|
