病毒簡介
病毒類型:特洛伊木馬
病毒大小:可變 (30k~50k左右)
傳播方式:網路
“野獸”病毒最新變種Backdoor/Beast.207幾乎集成了前段時間鬧得很兇的網銀大盜和蜜蜂大盜的所有功能,如盜取用戶的所有上網信息,遠程控制用戶電腦,任意上傳和下載檔案,偷窺用戶隱私等,而且更應該引起用戶警惕的是,該病毒感染方式和啟動方式不是固定的,它既可以按通常病毒所採取的通過修改註冊表添加啟動項來載入自己,還可以把自己注入到”explorer.exe”, ”IE 瀏覽器 “,”notepad.exe” 等系統進程中,再加上病毒大小,圖示,名稱等信息都是可變的,給用戶的察覺帶來了很大困難。
具體技術特徵如下
1. 在感染計算機上釋放下列檔案:
%Windir%\dxdgns.dll, 31378位元組
%Windir%\msagent\mslsqn.com, 49924位元組
%System%\config\sam.log, 8192位元組
%System%\msfrhc.com, 49924位元組
%System%\mslg.blf, 156位元組
2.在註冊表中添加下列啟動項:
【HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run】
"COM Service" = %Windir%\msagent\mslsqn.com
這樣,在windows啟動時,病毒就可以自動執行。
病毒具體危害如下:
1.密碼竊取
該病毒可以截取用戶的所有鍵盤輸入,並可以把用戶在電腦上的所進行的操作進行全盤記錄生成完整的log檔案,給用戶的隱私帶來了很大的危險。
2.遠程控制
該病毒有遠程監控的功能,類似於國產冰河、灰鴿子等黑客控制軟體。該功能可以使黑客監控感染病毒的計算機,在不經任何授權的情況下,非法觀看遠程桌面、遠控滑鼠、鍵盤,以及所有資源/檔案,並可以控制上傳下載。
3.遠程關閉防火牆
該病毒自動檢測感染計算機是否安裝防火牆(病毒防火牆、郵件防火牆、防黑牆)一旦發現就強行結束,使其無法檢測到黑客的連結操控。
4.後台隱藏
該病毒可以以執行緒方式注入到 ” explorer.exe ”,”IE 瀏覽器”,”notepad.exe” 等系統進程中,具有更強的隱蔽行,也給病毒的查殺帶來了一定困難。
5.反彈連線埠
該病毒可以按反彈連線埠方式進行反向連線,這樣就病毒可以穿透一般防火牆,滲透到內部網路,這就給許多公司的內部信息帶來了極大的安全隱患。
