Backdoor.Win32.SdBot.bhk分析
Backdoor.Win32.SdBot.bhk分析一、 病毒标签:
病毒名称: Backdoor.Win32.SdBot.bhk
病毒类型: 后门类
文件 MD5: 6AA9C25913E06E51BC83C98D7C61677F
公开范围: 完全公开
危害等级: 4
文件长度: 514,560 字节
感染系统: windows 98以上版本
加壳类型: 未知壳
二、 病毒描述:
该病毒为后门类,病毒运行后复制自身到系统目录,并重命名为MSASCu.exe ,衍生病毒文件,并删除自身。 修改多处注册表值,以达到随机引导病毒启动和降低系统安全设置的目的。以反向连接的形式主动连接控制端,受控成功后,控制端可以对用户电脑进行键盘记录,屏幕监控,摄像头抓图,文件操作,注册表操作,进程操作,发布广播等各种远程程控制。
三、 行为分析:
1、 病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身:
%WINDIR%\MSASCu.exe
%system%\ftp.exe
%system%\tftp.exe
%system%\dllcache\ftp.exe
%system%\dllcache\tftp.exe
%system%\Microsoft\backup.ftp
%system%\Microsoft\backup.tftp
2、修改注册表:
添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
新: 字符串: "Explorer.exe %WINDIR%\MSASCu.exe"
旧: 字符串: "Explorer.exe"
禁用监视系统安全设置和配置服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
禁用远程用户修改注册表设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
禁用DCOM:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
新: 字符串: "N"
旧: 字符串: "Y"
为了降低安全设置,修改下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
为了降低安全设置,创建下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
键值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\EnableFirewall
键值: DWORD: 0 (0)
3、 创建服务,并以服务的方式达到随机启动的目的:
服务名称: Windows Defender User Interface
显示名称: Windows Defender User Interface
描述:Windows Defender User Interface
可执行文件的路径:c:\WINDOWS\MSASCu.exe
启动方式:自动
4、创建自身进程MSASCu.exe连接网络,下载相关病毒文件,并等待病毒控制端连接:
地址列表:
209.205.196.14:80
66.1.114.38:80
209.205.196.11:80
212.23.63.50:80
下载文件:
VTTrayp.exe
x3a3x4q7p6u3.exe
5、该病毒通过恶意网站、其它病毒/木马下载传播,用户电脑可以受到远程控制。
注:%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
四、 清除方案:
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)关闭病毒进程MSASCu.exe
(2) 删除病毒文件
%WINDIR%\MSASCu.exe
%system%\ftp.exe
%system%\tftp.exe
%system%\dllcache\ftp.exe
%system%\dllcache\tftp.exe
%system%\Microsoft\backup.ftp
%system%\Microsoft\backup.tftp
VTTrayp.exe
x3a3x4q7p6u3.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
恢复病毒修改的注册表项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
新: 字符串: "Explorer.exe %WINDIR%\MSASCu.exe"
旧: 字符串: "Explorer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM
新: 字符串: "N"
旧: 字符串: "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
删除病毒添加的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
键值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\EnableFirewall
键值: DWORD: 0 (0)
(4) 禁用服务Windows Defender User Interface ,在“开始”菜单“运行”中键入services.msc运行本地服务,把Windows Defender User Interface的启动方式改为“禁用”。 很全面啊
不知道新手们能否看懂
能否有耐心看下去啊。。
页:
[1]