|
该样本是使用“VC”编写的“后门程序”,由微点主动防御软件自动捕获,采用加壳方式试图躲避特征码扫描,加壳后长度为“69,712字节”,图标为,使用 “exe”扩展名,主要通过“网页木马”、“文件捆绑”、“下载器下载”的方式传播,病毒主要作为被入侵主机的后门使用。
病毒分析
该样本程序被执行后,使用API函数“RegOpenKeyExA”打开注册表“HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorage”,如果打开成功则启动服务并退出,否则执行如下操作:修改当前系统时间,使部分杀毒软件不能正常使用;拷贝自身到%SystemRoot%\system32目录下,通过SCM写注册表,将病毒拷贝注册成名为“RemoteStorage”的服务,使用相关API函数启动被注册的服务;以命令行的形式将病毒原文件删除。
| Quote: |
项:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorage\
键值:DisplayName
指向数据:Network Connections Management
项:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorage\
键值:Description
指向数据:Network Connections Management
项:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorage\
键值:ImagePath
指向文件:%SystemRoot%\system32\病毒拷贝
项:HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorage\
键值:Start
指向数据:02 | |
服务代码运行后,在%SystemRoot%\system32目录下释放病毒文件“host.exe”和动态库“msapi32.dll”;开启“IEXPLORE.EXE”进程,申请内存空间将动态库“msapi32.dll”写入,使用远程线程激活写入的代码实现注入,以逃避常规杀毒软件的查杀;使用API函数“WinExec”运行病毒程序“host.exe”。
动态库“msapi32.dll”运行后,创建名为“MMMMMMMMMM”互斥体对象,防止“iexplore.exe”进程中有多个相同线程同时进行;开启多个线程与黑客进行通讯,接受黑客的控制,使被病毒感染主机伦为傀儡主机。
病毒程序“host.exe”运行后,修改如下注册表健值以达到开机自启动的目的;使用API函数“URLDownloadToFileA”将其他病毒程序下载到本地并运行;
| Quote: |
项:HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\
健值:Userinit
指向数据:%SystemRoot%\system32\userinit.exe, %SystemRoot%\system32\host.exe | |
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理;
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Backdoor.Win32.Delf.fqx”,请直接选择删除。
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
|
免责声明:本网转载内容均注明出处,转载是出于传递更多信息之目的,并不代表我们立场。 |
| 
添加到百度搜藏