基本信息
病毒名稱:Backdoor.Win32.RedGirl.a
本報告更新時間:2007-9-2
類型:後門
感染的作業系統:Windows 9x/NT/2000/XP/2003/Vista
威脅情況:
危險等級:★★★
傳播級別:中
已感染案例:0-100
已經感染此病毒網站數量:0-5
全球化傳播態勢:中
清除難度:容易
破壞力:高
破壞手段:遠程控制
行為分析
病毒運行後,先創建一個執行緒,該執行緒,利用FindWindow查找如下信息:
"主動防禦 信息"
"主動防禦 警報"
"允許"
"允許(A)"
"主動防禦 警告"
"跳過"
"跳過(S)"
'卡巴斯基網際網路安全套裝 6.0'
"微點主動防禦軟體 "
"放行"
"不刪除"
"添加為可信程式"
"下次採取相同策略"
"確定"
並向這些按鈕傳送WM_KeyDown,WM_LButtonDown,WM_LButtonUp,WM_Close訊息,使上述防毒軟體失效. 字串5
接下來,病毒會遍歷%SYSTEM%目錄,查找"RedGirl.exe"檔案,如果不存在,先從自身資源查找"DLL"資源名,然後將其釋放到%SYSTEM%中,並更名為RedGirl.dat,利用CreateRemoteThread調用.再把自身複製過去,並用CreateProcess啟動.
最後,開啟一個服務,其服務名和描述均為"RedGirl".
這是一個功能強大的木馬病毒,一旦中毒,本地系統將完全在其遠程客戶端的操控之下。
客戶端可以對已中病毒的伺服器端進行操控,如:
1、遠程檔案操作:包括上傳、下載、複製、刪除檔案或目錄
2、遠程關機、重啟、撥號控制,光碟機控制,註冊表鎖定,滑鼠鎖定,對桌面圖示、系統列等鎖定和隱藏等系統控制;
3、獲取計算機CPU速度、計算機名、註冊公司、當前用戶、系統路徑、作業系統版本、當前顯示解析度、物理及邏輯磁碟信息等多項系統數據;
4、對按鍵監視任務監視和終止以及直接的螢幕監視和控制;
5、偷竊用戶密碼;
此病毒不能自己傳播,但有惡意的人可以通過各種手段欺騙用戶,比如:此樣本的圖示為一個視頻檔案的圖示,檔案名稱為:“姐姐的視頻錄像”欺騙不明真相的用戶點擊運行。
安全建議
1 安裝正版防毒軟體、個人防火牆和安全軟體,並及時升級,防毒軟體每天至少升級三次。
2 使用“系統安全漏洞掃描”,打好補丁,彌補系統漏洞。
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Emial等傳來的可疑檔案。
5 上網時打開防毒軟體實時監控功能。
