紅色女郎危險等級:★★★
病毒名稱:backdoor.win32.redgirl.a
截獲時間:2007-7-15
本報告更新時間:2007-9-2
入庫版本:19.32.00
類型:後門
感染的操作係統:windows 9x/nt/2000/xp/2003/vista
威脅情況:
傳播級別:中
已感染案例:0-100
已經感染此病毒網站數量:0-5
全球化傳播態勢:中
清除難度:容易
破壞力:高
破壞手段:遠程控製
這是一個由microsoft visual c++ 6.0 編寫的後門病毒,病毒圖標為一個視頻文件的圖標,文件名為:“姐姐的視頻錄像”,欺騙不明真相的用戶點擊運行。可結束多種殺毒軟件,可接受黑客遠程操縱,進行多種危險操作,如下載中毒電腦的文件、窺探屏幕,竊取密碼等。
病毒運行後,先創建一個綫程,該綫程,利用findwindow查找如下信息:
"主動防禦 信息"
"主動防禦 警報"
"允許"
"允許(a)"
"主動防禦 警告"
"跳過"
"跳過(s)"
'卡巴斯基互聯網安全套裝 6.0'
"微點主動防禦軟件 "
"放行"
"不刪除"
"添加為可信程序"
"下次采取相同策略"
"確定"
並嚮這些按鈕發送wm_keydown,wm_lbuttondown,wm_lbuttonup,wm_close消息,使上述殺毒軟件失效. 字串5
接下來,病毒會遍歷%system%目錄,查找"redgirl.exe"文件,如果不存在,先從自身資源查找"dll"資源名,然後將其釋放到%system%中,並更名為redgirl.dat,利用createremotethread調用.再把自身復製過去,並用createprocess啓動.
最後,開啓一個服務,其服務名和描述均為"redgirl".
這是一個功能強大的木馬病毒,一旦中毒,本地係統將完全在其遠程客戶端的操控之下。
客戶端可以對已中病毒的服務器端進行操控,如:
1、遠程文件操作:包括上傳、下載、復製、刪除文件或目錄
2、遠程關機、重啓、撥號控製,光驅控製,註册表鎖定,鼠標鎖定,對桌面圖標、任務欄等鎖定和隱藏等係統控製;
3、獲取計算機cpu速度、計算機名、註册公司、當前用戶、係統路徑、操作係統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項係統數據;
4、對按鍵監視任務監視和終止以及直接的屏幕監視和控製;
5、偷竊用戶密碼;
此病毒不能自己傳播,但有惡意的人可以通過各種手段欺騙用戶,比如:此樣本的圖標為一個視頻文件的圖標,文件名為:“姐姐的視頻錄像”欺騙不明真相的用戶點擊運行。
安全建議:
1 安裝正版殺毒軟件、個人防火墻和安全軟件,並及時升級,殺毒軟件每天至少升級三次。
2 使用“係統安全漏洞掃描”,打好補丁,彌補係統漏洞。
3 不瀏覽不良網站,不隨意下載安裝可疑插件。
4 不接收qq、msn、emial等傳來的可疑文件。
5 上網時打開殺毒軟件實時監控功能。 |
|
|