病毒名称: Backdoor.win32.pcs.gen
病毒类型:后门
危害等级:高
文件长度: 22,278 字节
感染系统: windows9x 以上所有版本
编写语言: VC++6.0
加壳类型: Petite 2.2
病毒描述:
该病毒运行后会把本身拷贝到系统目录下,然后创建一个名字为“ aa ”的服务。该服务会启动后隐藏自己,同时将本身自带的另一个文件 aa.wmv ( aa.wmv 实际是个 DLL 文件)也拷贝到系统目录下,而且该服务会隐藏自身,使用户在服务管理器中找不到“ aa ”该服务。具有很强的隐蔽性。并且该程序在完成上述操作后,会主动与 IP 为 61.53.40.253 的主机建立连接,建立连接后接受客户端主机的控制。该木马还会记录现在的各种帐号(游戏,上网等等各种帐号密码发送给客户端)。此木马还能抓取当前用户的屏幕截图,发送给客户端。并且接收和发送客户端传给的文件,响应客户端的各种请求(包括客户端可以关闭服务器主机), 是一个危害性很强的反向连接木马!
行为分析:
1 、将自身复制到系统目录下 .
2 、通过修改注册表的服务 ( 服务名“ aa ” ) 项来启动并隐藏服务:
HKEY_LOCAL_MACHINESYSTEMControlSet001Services 中添加一个“ aa ”项 添加 Type 键 键值 0x00000110
添加 Start 键 键值 0x00000002
添加 ErrorControl 键 键值 0x00000001
添加 ImagePath 键 键值 "C:WINNTsystem32aa.exe"
添加 DisplayName 键 键值 "aa"
添加 ObjectName 键 键值 "LocalSystem"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 中添加一个与 ControlSet001 中 Services 相同的内容。
3 、 IP 为 61.53.40.253 的主机建立连接接受控制。
4 、立连接后接收客户机器上的各种请求,包括客户机可以获取服务器上当前的屏幕截图,窃取当前用户的各种帐号密码传送给客户端。客户端可以随意增加,删除,修改,下载服务端的各种文件。客户端还可以关闭服务端主机。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置
附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀
采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理
提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护
全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。