病毒名称(中文):
远程控制下载器367616
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
367616
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个多功能的远程木马。它会非法获取操作权限,帮助黑客监视和控制用户系统,并下载其它木马到用户电脑中运行。
一、将自身复制到c:\WINDOWS\systom\schrars.exe
二、在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto添加记录,以服务的方式自启动自身,服务名为RasAuto
三、创建脚本自删除
@echooff
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@echoasdfhdsafjkahlsdjfhlk>>3596799a1543bc9f.aqq
@del3596799a1543bc9f.aqq
@del"c:\DOCUME~1\admin\MYDOCU~1\D33D05~1.V"
@delafc9fe2f418b00a0.bat
@exit
四、以下是远程控制模块的内容:
解密字符串guo****14.3**2.org:8003;
1.得到控制端对应的IP地址,与其建立连接
2.得到本地计算机的系统版本、计算机名、内存大小、病毒自身的版本,加密后发送过去
3.接收控制端过来的消息,通过控制端的消息作出相应的操作:
a.接收消息失败,关闭连接,等待10秒钟跳转到循环开始处
b.接收消息字节长度小于104h时,重新接收消息
c.消息首4字节为-14时,关闭连接,将自身移动到%system%\systom32\schrars.exe
d.消息首4字节为-11、-12、-13时,提升自身的权限为SeShutdownPrivilege
e.消息首4字节为0x21000000时,创建线程做以下操作:得到硬盘信息以及目录下的所有文件信息,以对文件进行打开、删除、复制、移动、创建等操作
f.消息首4字节为0x22000001时,创建线程远程监控桌面
g.消息首4字节为0x23000000时,创建匿名管道,读取系统目录下指定文件的内容
h.消息首4字节为0x25000000时,得到进程信息,提权并关闭指定的进程
i.消息首4字节为0x30000000时,根据其参数有不同的操作:
1).给指定的IP发送40字节的消息,UDP方式,将消息的Unicode转换成ascii
2).将GET^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htm等类似的字符串发送到指定的IP地址,UDP方式
3).给指定的IP发送消息,每隔0.4秒发送一次,UDP方式
4).给指定的IP发送ssssssssssssssssssssssssssssssssssssssssssssss字符串
5).给指定的IP发送消息,每隔0.4秒发送一次,TCP方式
6).与指定的IP建立连接,每隔1秒检查一次标识,若接收到结束标识就断开连接
7).与指定的IP不停的建立连接,每隔0.04秒连接一次
8).连接指定的网页,发送GET/*(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.html请求
9).连接指定的网页,发送GET^*%%RFTGYHJIRTG*(&^%DFG.asp请求
10).连接指定的网页,发送GET...请求
11).给指定的IP发送乱码通信
99).设置结束标识
100).从指定的网址下载文件到c:\pagefile.pif并执行
101).运行指定的文件