其它名稱
Win32.Fasbeaf.A, Backdoor.Small.bb (Kaspersky), Backdoor/Small.BB.Server
病毒屬性:特洛伊木馬危害性:中等危害流行程度:
具體介紹
病毒特性:
Win32/Fasbeaf.A是一族後門特洛伊病毒,允許未經授權的訪問被感染機器。它們還有代理的功能。
感染方式:
運行時,Fasbeaf.A 使用一個任意檔案名稱和一個.exe擴展名複製到%System%目錄。檔案名稱可能包含一串3到13阿拉伯數字字元,例如"sw8o6ot.exe" 或 "wxjmtaxzj.exe"。特洛伊運行這個新的副本並刪除原始檔案。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
Fasbeaf添加以下註冊表鍵值,以確保每次系統啟動時都能運行這個副本:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random name > = "%System%\<random name >.exe"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random name> = "%System%\<random name>.exe"
運行期間,如果這些鍵值被刪除,特洛伊會反覆生成這些鍵值。
Fasbeaf還會在被感染機器的%Windows%目錄使用相同的名稱生成一個互斥體,但是以下劃線(_)替代反斜線符號(\)。例如,一台機器默認安裝Windows XP,互斥體名稱可能是"C:_WINDOWS"。
註:'%Windows%'是一個可變的路徑。病毒通過查詢作業系統來決定Windows資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
危害:
代理功能
Fasbeaf.A為了能夠連線會監聽任意連線埠。很多變體有一個信任的站點列表,並檢查引入的連線是否來自信任的IP位址。確定一個連線的時候,特洛伊被命令生成一個代理伺服器,或者關閉連線和當前連線埠。
Fasbeaf.A被命令連線一個特定的IP/連線埠,並通過被感染機器傳遞Internet通信量。或者接受以下命令,Fasbeaf設定另一個監聽socket,傳送連線埠和本地機器IP給它的控制者。隨後,監聽一個新的socket,一旦確定連線,在控制者和開始連線的站點之間傳遞通信量。
後門功能
Fasbeaf.A包含一個站點和連線的相應的連線埠的列表。例如:
69.61.23.34:12765
216.195.34.235:12765
81.9.3.82:7777
81.222.131.45:7777
一旦連線上,特洛伊就被命令執行各種操作,以及它的代理功能,包括:
下載惡意程式的更新;
下載並運行任意檔案;
停止運行。
一些命令改變Fasbeaf的行為。例如,特洛伊被命令不檢查連線到它的代理連線埠的站點。
特洛伊還會傳送不同的信息到遠程站點,包括:
被感染機器的Windows 版本;
特洛伊監聽的代理連線埠;
機器名;
當前用戶名;
關於特洛伊的當前狀況和行為的信息。
其它信息
根據後門命令,特洛伊可能生成以下註冊表:
HKLM\Software\Microsoft\Windows\ShellNoRoam\MUICache\"%System%\<random name>.exe" = <data>
HKCU\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\"%System%\<random name>.exe" = <data>
這裡的<random name>是特洛伊當前運行的檔案名稱;
<data> 是通過後門收到的數據。
這些鍵值還生成特洛伊每次更新的時間。<random name>是更新的變體名稱。Fasbeaf不使用這些鍵值,但是會將這些值報告給後門連線。
清除:
KILL安全胄甲最新版本可檢測/清除此病毒。