Backdoor.win32.pcs.gen

王朝百科·作者佚名  2010-02-19
窄屏简体版  字體: |||超大  

病毒名称: Backdoor.win32.pcs.gen

病毒类型:后门

危害等级:高

文件长度: 22,278 字节

感染系统: windows9x 以上所有版本

编写语言: VC++6.0

加壳类型: Petite 2.2

病毒描述:

该病毒运行后会把本身拷贝到系统目录下,然后创建一个名字为“ aa ”的服务。该服务会启动后隐藏自己,同时将本身自带的另一个文件 aa.wmv ( aa.wmv 实际是个 DLL 文件)也拷贝到系统目录下,而且该服务会隐藏自身,使用户在服务管理器中找不到“ aa ”该服务。具有很强的隐蔽性。并且该程序在完成上述操作后,会主动与 IP 为 61.53.40.253 的主机建立连接,建立连接后接受客户端主机的控制。该木马还会记录现在的各种帐号(游戏,上网等等各种帐号密码发送给客户端)。此木马还能抓取当前用户的屏幕截图,发送给客户端。并且接收和发送客户端传给的文件,响应客户端的各种请求(包括客户端可以关闭服务器主机), 是一个危害性很强的反向连接木马!

行为分析:

1 、将自身复制到系统目录下 .

2 、通过修改注册表的服务 ( 服务名“ aa ” ) 项来启动并隐藏服务:

HKEY_LOCAL_MACHINESYSTEMControlSet001Services 中添加一个“ aa ”项 添加 Type 键 键值 0x00000110

添加 Start 键 键值 0x00000002

添加 ErrorControl 键 键值 0x00000001

添加 ImagePath 键 键值 "C:WINNTsystem32aa.exe"

添加 DisplayName 键 键值 "aa"

添加 ObjectName 键 键值 "LocalSystem"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 中添加一个与 ControlSet001 中 Services 相同的内容。

3 、 IP 为 61.53.40.253 的主机建立连接接受控制。

4 、立连接后接收客户机器上的各种请求,包括客户机可以获取服务器上当前的屏幕截图,窃取当前用户的各种帐号密码传送给客户端。客户端可以随意增加,删除,修改,下载服务端的各种文件。客户端还可以关闭服务端主机。

--------------------------------------------------------------------------------

清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置

附:

安天木马防线2005+试用版下载地址:

http://www.antiy.com/product/ghostbusters/index.htm

病毒上报信箱: submit@virusview.net

木马防线2005+:

木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。

高效木马查杀

采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。

系统安全管理

提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。

实时网络防护

全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航