首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

后門程序Backdoor.Win32.Generic.a

后門程序

Backdoor.Win32.Generic.a

捕獲時間

2012-11-06

危害等級



病毒癥狀

  該樣本是使用“C/C ”編寫的“后門程序”,由微點主動防御軟件自動捕獲,長度為“24,576”字節,圖標為“
”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是控制用戶系統。用戶中毒后,會出現網絡運行緩慢,網絡端口開啟,運行未知進程等現象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)










圖1 微點主動防御軟件自動捕獲未知病毒(未升級)









如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現后門程序"Backdoor.Win32.Generic.a”,請直接選擇刪除(如圖2)。










圖2   微點主動防御軟件升級后截獲已知病毒









未安裝微點主動防御軟件的手動解決辦法:

1.手動停止并刪除服務"Servicesuep"

3.手動刪除文件
"%Temp%\4f1ea.Pcu"
"%SystemRoot%\system32\Servicesuep.dll"

4.刪除鍵值項
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\Servicesuep"



變量聲明:

%SystemDriver%       系統所在分區,通常為“C:\”
%SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析:

1.創建名字為"Global\dz0004f1ea"的互斥對象,防止重復運行。
2.獲取系統緩存目錄,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\4f1ea.Pcu",寫入病毒數據。
3.獲取系統目錄,創建文件"C:\WINDOWS\system32\Servicesuep.dll",寫入病毒數據,讀取文件"C:\WINDOWS\system32\svchost.exe"時間屬性并設置到該文件。
4.加載病毒文件"C:\WINDOWS\system32\Servicesuep.dll"到當前進程地址空間,并調用其導出函數"ServiceMain"。
"ServiceMain"函數執行之后:
5.創建名字為"Servicesuep"的服務,啟動類型為自動,執行映像指向"C:\WINDOWS\system32\svchost.exe -k Servicesuep"。
6.設置鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\Servicesuep" = "Servicesuep"、
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Servicesuep\Parameters\ ServiceDll" = "%SystemRoot%\System32\Servicesuep.dll"、
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Servicesuep\Parameters\ServiceDll" =
"%SystemRoot%\System32\Servicesuep.dll",之后啟動病毒服務"Servicesuep"。
"Servicesuep"服務啟動之后:
7.創建套接字,連接到遠程主機"li-ti*g.**22.org",并從該主機接收數據,受控于該主機,并下載其他病毒文件執行。

病毒創建文件:

"%Temp%\4f1ea.Pcu"
"%SystemRoot%\system32\Servicesuep.dll"

病毒修改注冊表:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\Servicesuep"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Servicesuep\Parameters\ ServiceDll"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Servicesuep\Parameters\ServiceDll"

病毒訪問網絡:

"li-ti*g.**22.org"

相關主題:
沒有相關主題

免費試用
下  載
安裝演示

为什么红黑一压大必输 中国股市现状分析 双色球平吗推荐 李逵劈鱼稳赢教程讲解 股票下跌时换手率高 友好广西棋牌正版 东浦塞美女捕鱼 山西太行麻将官方网站 棋牌基米国际棋牌 在家兼职工作免押金 捕鱼游戏赢现金是赌博么 哈灵上海麻将 网络赚钱博客 nba录像 516棋牌游戏手机充值 fg捕鸟达人怎么赢 南宁友乐广西麻将