病毒綜述
病毒名稱: Backdoor.win32.pcs.gen
病毒類型:後門
危害等級:高
檔案長度: 22,278 位元組
感染系統: windows9x 以上所有版本
編寫語言: VC++6.0
加殼類型: Petite 2.2
病毒描述
該病毒運行後會把本身拷貝到系統目錄下,然後創建一個名字為“ aa ”的服務。該服務會啟動後隱藏自己,同時將本身自帶的另一個檔案 aa.wmv ( aa.wmv 實際是個 DLL 檔案)也拷貝到系統目錄下,而且該服務會隱藏自身,使用戶在服務管理器中找不到“ aa ”該服務。具有很強的隱蔽性。並且該程式在完成上述操作後,會主動與 IP 為 61.53.40.253 的主機建立連線,建立連線後接受客戶端主機的控制。該木馬還會記錄現在的各種帳號(遊戲,上網等等各種帳號密碼傳送給客戶端)。此木馬還能抓取當前用戶的螢幕截圖,傳送給客戶端。並且接收和傳送客戶端傳給的檔案,回響客戶端的各種請求(包括客戶端可以關閉伺服器主機), 是一個危害性很強的反向連線木馬!
行為分析:
1 、將自身複製到系統目錄下 .
2 、通過修改註冊表的服務 ( 服務名“ aa ” ) 項來啟動並隱藏服務:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services 中添加一個“ aa ”項 添加 Type 鍵 鍵值 0x00000110
添加 Start 鍵 鍵值 0x00000002
添加 ErrorControl 鍵 鍵值 0x00000001
添加 ImagePath 鍵 鍵值 "C:\WINNT\system32\aa.exe"
添加 DisplayName 鍵 鍵值 "aa"
添加 ObjectName 鍵 鍵值 "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 中添加一個與 ControlSet001 中 Services 相同的內容。
3 、 IP 為 61.53.40.253 的主機建立連線接受控制。
4 、立連線後接收客戶機器上的各種請求,包括客戶機可以獲取伺服器上當前的螢幕截圖,竊取當前用戶的各種帳號密碼傳送給客戶端。客戶端可以隨意增加,刪除,修改,下載服務端的各種檔案。客戶端還可以關閉服務端主機。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定
附:
安天木馬防線2005+試用版下載地址:
http://www.antiy.com/product/ghostbusters/index.htm 病毒上報信箱: [email protected]木馬防線2005+:
木馬防線2005+是安天實驗室出品的個人信息安全產品,是木馬防線2005的全新升級版,具備高效木馬查殺、系統安全管理、實時網路防護等功能。
高效木馬查殺
採用高速智慧型檢測引擎(SVE),能夠完全查殺國內外流行的6萬餘種木馬、後門、蠕蟲、間諜軟體、廣告軟體、黑客工具、色情撥號程式等,尤其對各類未知有害程式具有極高的檢出率。
系統安全管理
提供了豐富的安全管理工具,能夠修復IE和註冊表設定,管理系統中各項任務、進程、服務、共享資源和自啟動項,監控網路的連線狀態和開啟的連線埠。
實時網路防護
全新的安天盾防火牆功能更加強大,能夠實時監控您的系統和網路,隨時發現活動的木馬等可疑程式,並能查封指定IP位址和連線埠,有效攔截各類諸如"衝擊波""震盪波"的掃描攻擊行為。
