¿Qué tipo de virus es Backdoor.Win32.PcClient.rds?
Nombre del virus: Backdoor/Análisis Win32.Agent.uzw
Tipo de virus: Backdoor
Archivo MD5: F828D20FFB075B69E481BA089AE1B26B
Alcance público: Divulgación completa
Nivel de riesgo: 5
Longitud del archivo: 30 208 bytes
Sistema infectado: Windows 98 o superior
Herramientas de desarrollo: Microsoft Visual C 6.0
Tipo de embalaje: UPX 0.89.6 - 1.02 / 1.05 - 1.24
[Editar este párrafo] Descripción del virus
El virus es de clase Backdoor, el virus detecta el depurador después de ejecutarlo, recorre el proceso para encontrar el nombre del proceso especificado, si hay un depurador o contiene el nombre del proceso especificado, el virus finaliza el servicio especificado en el sistema y el nombre derivado es "dll*"; el archivo del directorio temporal **.dll" (*** es un número aleatorio); cargue el archivo dll derivado. Derivado de eliminar el archivo por lotes a un directorio temporal y luego eliminar el cuerpo del virus y el lote en sí. Después de cargar el archivo de biblioteca de vínculos dinámicos derivado, derive el archivo Nskhelper2.sys al directorio del sistema y cree el evento NsDlRk250, detecte la hora actual del sistema y salga de la ejecución si el año es mayor que 2008; de lo contrario, cree un subproceso remoto; conectarse a la red para descargar el archivo de virus, agregar una gran cantidad de secuestros de imágenes, modificar el archivo host, derivar archivos de virus y archivos autorun.inf en cada directorio raíz del disco, liberar otros archivos de controlador en el directorio del sistema, etc.; appwinproc.dll al directorio del sistema, detecta el título que contiene la ventana de cadena especificada y finaliza su proceso. Después de apagar la computadora infectada, el programa de virus infectará el archivo de imagen correspondiente al servicio cerrado.
[Editar este párrafo] Análisis de comportamiento
Comportamiento local
1. Después de ejecutar el archivo, se publicarán los siguientes archivos
DriveLetter\autorun.inf
Documentos y configuración\Administrador\Configuración local\Temp\dll62.dll
DriveLetter\system.dll
System32\appwinproc. dll
System32\drivers\etc\hosts
System32\Nskhelper2.sys
System32\NsPass0.sys
System32\NsPass1. sys
System32\NsPass2.sys
System32\NsPass3.sys
System32\NsPass4.sys
HomeDrive\system.dll
HomeDrive\autorun.inf
2. Agregar nuevo registro
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"Archivo secuestrado name" ]
Valor de registro: "Depurador"
Tipo: REG_SZ
Valor: "svchost.exe"
Archivo secuestrado El La lista de nombres es la siguiente:
360safe.exe, 360safebox.exe, 360tray.exe, ACKWIN32.exe, ANTI-TROJAN.exe, anti.exe, antivir.exe, atrack.exe, AUTODOWN. exe, AVCONSOL .exe, AVE32.exe, AVGCTRL.exe, avk.exe, AVKSERV.exe, avp.exe, AVPUPD.exe, AVSCHED32.exe, avsynmgr.exe, AVWIN95.exe, avxonsol.exe, BLACKD.exe, BLACKICE.exe, CCenter.exe, CFIADMIN.exe, CFIAUDIT.exe, CFIND.exe, cfinet.exe, cfinet32.exe, CLAW95.exe, CLAW95CT.exe, CLEANER.exe, CLEANER3.exe, DAVPFW.exe, dbg. exe, debu .exe, DV95.exe, DV95_O.exe, DVP95.exe, ECENGINE.exe, EFINET32.exe, ESAFE.exe, ESPWATCH.exe, exploreclass.exe, F-AGNT95.exe, F-PROT.exe, f-prot95 .exe, f-stopw.exe, FINDVIRU.exe, fir.exe, fp-win.exe, FRW.exe, IAMAPP.exe, IAMSERV.exe, IBMASN.exe, IBMAVSP.exe, ice.exe, IceSword.exe, ICLOAD95.exe
, ICLOADNT.exe, ICMOON.exe, ICSSUPPNT.exe, iom.exe, iomon98.exe, JED.exe, Kabackreport.exe, Kasmain.exe, kav32.exe, kavstart.exe, kissvc.exe, KPFW32.exe, kpfwsvc .exe, KPPMain.exe, KRF.exe, KVMonXP.exe, KVPreScan.exe, kwatch.exe, lamapp.exe, lockout2000.exe, LOOKOUT.exe, luall.exe, LUCOMSERVER.exe, mcafee.exe, microsoft.exe , mon.exe, moniker.exe, MOOLIVE.exe, MPFTRAY.exe, ms.exe, N32ACAN.exe, navapsvc.exe, navapw32.exe, NAVLU32.exe, NAVNT.exe, navrunr.exe, NAVSCHED.exe, NAVW .exe, NAVW32.exe, navwnt.exe, nisserv.exe, nisum.exe, NMAIN.exe, NORMIST.exe, norton.exe, NUPGRADE.exe, NVC95.exe, office.exe, OUTPOST.exe, PADMIN.exe , PAVCL.exe, pcc.exe, PCCClient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccwin98.exe, PCFWALLICON.exe, PERSFW.exe, PpPpWallRun.exe, program.exe, prot.exe, pview95 .exe, ras.exe, Rav.exe, RAV7.exe, rav7win.exe, RavMon.exe, RavMonD.exe, RavStub.exe, RavTask.exe, regedit.exe, Rescue32.exe, Rfw.exe, rn.exe , safeboxTray.exe, safeweb.exe, estafa32.exe, scan.exe, SCAN32.exe, SCANPM.exe, scon.exe, SCRSCAN.exe, secu.exe, SERV95.exe, sirc32.exe, SMC.exe, smtpsvc .exe, SPHINX.exe, spy.exe, sreng.exe, SWEEP95.exe, symproxysvc.exe, TBSCAN.exe, TCA.exe, TDS2-98.exe, TDS2-NT.exe, Tmntsrv.exe, TMOAgent.exe , tmproxy.exe, tmupdito.exe, TSC.exe, UlibCfg.exe, vavrunr.exe, VET95.exe, VETTRAY.exe, vir.exe, VPC32.exe, VSECOMR.exe, vshwin32.exe, VSSCAN40, vsstat.exe , WEBSCAN.exe, WEBSCANX.exe, webtrap.exe, WFINDV32.exe, optimización de Windows master.exe, wink.exe, XDelbox.exe, zonealarm.exe
Crear nombre de servicio: NsDlRK25, NsP
sDk00, NsPsDk01, NsPsDk02, NsPsDk03, NsPsDk04 y otros 6 servicios.
La ruta del servicio es el archivo del controlador correspondiente en el directorio System32.
3. Los nombres de proceso especificados buscados son los siguientes:
OllyDbg.exe, OllyICE.exe, PEditor.exe, LordPE.exe, C32Asm.exe, ImportREC.exe p >
4. La lista de servicios deshabilitados es la siguiente:
Schedule, AppMgmt, srservice, W32Time, stisvc
El nombre del servicio correspondiente es:
Administración de aplicaciones, Programador de tareas, Servicio de restauración del sistema, Adquisición de imágenes de Windows (WIA), Hora de Windows
5. Modifique el archivo host y bloquee algunos sitios web de seguridad
La lista agregada es de la siguiente manera:
p>
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www. 360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rise.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net p>
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com .cn
127.0 .0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
6. En archivos de virus derivados y archivos autorun.inf en el directorio raíz de cada unidad
El formato de datos del archivo Autorun.inf es el siguiente:
[ejecución automática]
shell\open\ command=rundll32 system.dll, explorar
shell\explore\co
mmand=rundll32 system.dll, explorar
7. Lista de cadenas especificadas en la ventana
Kingsoft Antivirus, 360 Security Guard, Jiangmin, Trojan, Special Killer, Downloader, NOD32, Kabbah Ski, McAfee , Super Patrol, Qihoo, Antivirus...
8. Archivos del sistema infectados
Los archivos del sistema infectados son:
System32\appmgmts .dll
System32\schedsvc.dll
System32\srsvc.dll
System32\w32time.dll
System32\wiaservc.dll
El método de infección es:
Escribir el código del archivo de virus "system.dll" comenzando desde la cabecera del archivo. Hasta que esté terminado.
Comportamiento de la red
Conéctese a la red para descargar la lista de virus, descargue el archivo de virus de acuerdo con la lista de virus y ejecute el archivo
/count.txt
El contenido es el siguiente:
/ly/a4.exe
/ly/a1.exe
/ly/a3 .exe
/ly/a10.exe
/ly/a40.exe
/ly/a25.exe
/ly /a13.exe
/ly/a36.exe
/ly/a41.exe
/ly/a9.exe
/ly/a49.exe
/ly/a23.exe
/ly/a32.exe
/ly/a42.exe
/hm/b12.exe p>
/hm/b17.exe
/hm/b13.exe
/hm/b35.exe
/hm/b15.exe
/hm/b7.exe
/hm/b21.exe
/hm/b44.exe
/hm/b3 .exe
/hm/b10.exe
/hm/b5.exe
/hm/b8. exe
/hm /b2.exe
/hm/b4.exe
/hm/b11.exe
/hm/ b1.exe
/bm/c1.exe
/bm/c2.exe
/bm/c3.exe
/ vip/aaa.exe
/vip/cj.exe
Nota: System32 es una ruta variable. El virus consulta al sistema operativo para determinar la ubicación de la carpeta del sistema actual. La ruta de instalación predeterminada en Windows2000/NT es C:\Winnt\System32, la ruta de instalación predeterminada en Windows95/98/me es C:\Windows\System y la ruta de instalación predeterminada en WindowsXP es C:\Windows\System32.
Temp = C:\Documents and Settings\AAAAAA\Local Settings\Temp variable de caché TEMP del usuario actual
Directorio donde se encuentra Windir\ WINDODWS
DriveLetter\ Directorio raíz de la unidad lógica
ProgramFiles\ Directorio de instalación predeterminado de los programas del sistema
HomeDrive = C:\Partición donde se encuentra el sistema actualmente iniciado
Documentos y configuraciones\ Raíz del documento del usuario actual Índice
[Editar este párrafo] Plan de liquidación
1. Desconecte la red.
2. Utilice Antiy Defense Line para eliminar completamente este virus (recomendado). Haga clic aquí para descargar Antiy Defense Line gratis.
Utilice "Gestión de servicios" en Antiy Defense Tool para cerrar los siguientes servicios
Gestión de aplicaciones
Programador de tareas
Servicio de restauración del sistema
Adquisición de imágenes de Windows (WIA)
Hora de Windows
3. Elimine los siguientes archivos después de reiniciar la computadora
DriveLetter\autorun.inf
Documentos y configuración\Administrador\Configuración local\Temp\dll62.dll
DriveLetter\system.dll
System32\appwinproc.dll
System32\drivers\etc\hosts
System32\Nskhelper2.sys
System32\NsPass0.sys
System32\NsPass1.sys
System32\NsPass2.sys
System32\NsPass3.sys
System32\NsPass4.sys
HomeDrive\system.dll
InicioDrive \autorun.inf
System32\appmgmts.dll
System32\schedsvc.dll
System32\srsvc.dll
System32\ w32time .dll
System32\wiaservc.dll
4. Copie los siguientes archivos desde una computadora normal al directorio System32
System32\appmgmts.dll p>
System32\schedsvc.dll
System32\srsvc.dll
System32\w32time.dll
System32\wiaservc.dll
5. Elimine todas las entradas de registro de secuestro de imágenes agregadas por virus;
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"Nombre de archivo secuestrado"]
Eliminar las claves de registro de servicios agregadas por el virus
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\"Service Name"]