Red de conocimiento del abogados - Respuesta jurídica de la empresa - ¿Qué tipo de virus es Backdoor.Win32.PcClient.rds?

¿Qué tipo de virus es Backdoor.Win32.PcClient.rds?

Nombre del virus: Backdoor/Análisis Win32.Agent.uzw

Tipo de virus: Backdoor

Archivo MD5: F828D20FFB075B69E481BA089AE1B26B

Alcance público: Divulgación completa

Nivel de riesgo: 5

Longitud del archivo: 30 208 bytes

Sistema infectado: Windows 98 o superior

Herramientas de desarrollo: Microsoft Visual C 6.0

Tipo de embalaje: UPX 0.89.6 - 1.02 / 1.05 - 1.24

[Editar este párrafo] Descripción del virus

El virus es de clase Backdoor, el virus detecta el depurador después de ejecutarlo, recorre el proceso para encontrar el nombre del proceso especificado, si hay un depurador o contiene el nombre del proceso especificado, el virus finaliza el servicio especificado en el sistema y el nombre derivado es "dll*"; el archivo del directorio temporal **.dll" (*** es un número aleatorio); cargue el archivo dll derivado. Derivado de eliminar el archivo por lotes a un directorio temporal y luego eliminar el cuerpo del virus y el lote en sí. Después de cargar el archivo de biblioteca de vínculos dinámicos derivado, derive el archivo Nskhelper2.sys al directorio del sistema y cree el evento NsDlRk250, detecte la hora actual del sistema y salga de la ejecución si el año es mayor que 2008; de lo contrario, cree un subproceso remoto; conectarse a la red para descargar el archivo de virus, agregar una gran cantidad de secuestros de imágenes, modificar el archivo host, derivar archivos de virus y archivos autorun.inf en cada directorio raíz del disco, liberar otros archivos de controlador en el directorio del sistema, etc.; appwinproc.dll al directorio del sistema, detecta el título que contiene la ventana de cadena especificada y finaliza su proceso. Después de apagar la computadora infectada, el programa de virus infectará el archivo de imagen correspondiente al servicio cerrado.

[Editar este párrafo] Análisis de comportamiento

Comportamiento local

1. Después de ejecutar el archivo, se publicarán los siguientes archivos

DriveLetter\autorun.inf

Documentos y configuración\Administrador\Configuración local\Temp\dll62.dll

DriveLetter\system.dll

System32\appwinproc. dll

System32\drivers\etc\hosts

System32\Nskhelper2.sys

System32\NsPass0.sys

System32\NsPass1. sys

System32\NsPass2.sys

System32\NsPass3.sys

System32\NsPass4.sys

HomeDrive\system.dll

HomeDrive\autorun.inf

2. Agregar nuevo registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"Archivo secuestrado name" ]

Valor de registro: "Depurador"

Tipo: REG_SZ

Valor: "svchost.exe"

Archivo secuestrado El La lista de nombres es la siguiente:

360safe.exe, 360safebox.exe, 360tray.exe, ACKWIN32.exe, ANTI-TROJAN.exe, anti.exe, antivir.exe, atrack.exe, AUTODOWN. exe, AVCONSOL .exe, AVE32.exe, AVGCTRL.exe, avk.exe, AVKSERV.exe, avp.exe, AVPUPD.exe, AVSCHED32.exe, avsynmgr.exe, AVWIN95.exe, avxonsol.exe, BLACKD.exe, BLACKICE.exe, CCenter.exe, CFIADMIN.exe, CFIAUDIT.exe, CFIND.exe, cfinet.exe, cfinet32.exe, CLAW95.exe, CLAW95CT.exe, CLEANER.exe, CLEANER3.exe, DAVPFW.exe, dbg. exe, debu .exe, DV95.exe, DV95_O.exe, DVP95.exe, ECENGINE.exe, EFINET32.exe, ESAFE.exe, ESPWATCH.exe, exploreclass.exe, F-AGNT95.exe, F-PROT.exe, f-prot95 .exe, f-stopw.exe, FINDVIRU.exe, fir.exe, fp-win.exe, FRW.exe, IAMAPP.exe, IAMSERV.exe, IBMASN.exe, IBMAVSP.exe, ice.exe, IceSword.exe, ICLOAD95.exe

, ICLOADNT.exe, ICMOON.exe, ICSSUPPNT.exe, iom.exe, iomon98.exe, JED.exe, Kabackreport.exe, Kasmain.exe, kav32.exe, kavstart.exe, kissvc.exe, KPFW32.exe, kpfwsvc .exe, KPPMain.exe, KRF.exe, KVMonXP.exe, KVPreScan.exe, kwatch.exe, lamapp.exe, lockout2000.exe, LOOKOUT.exe, luall.exe, LUCOMSERVER.exe, mcafee.exe, microsoft.exe , mon.exe, moniker.exe, MOOLIVE.exe, MPFTRAY.exe, ms.exe, N32ACAN.exe, navapsvc.exe, navapw32.exe, NAVLU32.exe, NAVNT.exe, navrunr.exe, NAVSCHED.exe, NAVW .exe, NAVW32.exe, navwnt.exe, nisserv.exe, nisum.exe, NMAIN.exe, NORMIST.exe, norton.exe, NUPGRADE.exe, NVC95.exe, office.exe, OUTPOST.exe, PADMIN.exe , PAVCL.exe, pcc.exe, PCCClient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccwin98.exe, PCFWALLICON.exe, PERSFW.exe, PpPpWallRun.exe, program.exe, prot.exe, pview95 .exe, ras.exe, Rav.exe, RAV7.exe, rav7win.exe, RavMon.exe, RavMonD.exe, RavStub.exe, RavTask.exe, regedit.exe, Rescue32.exe, Rfw.exe, rn.exe , safeboxTray.exe, safeweb.exe, estafa32.exe, scan.exe, SCAN32.exe, SCANPM.exe, scon.exe, SCRSCAN.exe, secu.exe, SERV95.exe, sirc32.exe, SMC.exe, smtpsvc .exe, SPHINX.exe, spy.exe, sreng.exe, SWEEP95.exe, symproxysvc.exe, TBSCAN.exe, TCA.exe, TDS2-98.exe, TDS2-NT.exe, Tmntsrv.exe, TMOAgent.exe , tmproxy.exe, tmupdito.exe, TSC.exe, UlibCfg.exe, vavrunr.exe, VET95.exe, VETTRAY.exe, vir.exe, VPC32.exe, VSECOMR.exe, vshwin32.exe, VSSCAN40, vsstat.exe , WEBSCAN.exe, WEBSCANX.exe, webtrap.exe, WFINDV32.exe, optimización de Windows master.exe, wink.exe, XDelbox.exe, zonealarm.exe

Crear nombre de servicio: NsDlRK25, NsP

sDk00, NsPsDk01, NsPsDk02, NsPsDk03, NsPsDk04 y otros 6 servicios.

La ruta del servicio es el archivo del controlador correspondiente en el directorio System32.

3. Los nombres de proceso especificados buscados son los siguientes:

OllyDbg.exe, OllyICE.exe, PEditor.exe, LordPE.exe, C32Asm.exe, ImportREC.exe

4. La lista de servicios deshabilitados es la siguiente:

Schedule, AppMgmt, srservice, W32Time, stisvc

El nombre del servicio correspondiente es:

Administración de aplicaciones, Programador de tareas, Servicio de restauración del sistema, Adquisición de imágenes de Windows (WIA), Hora de Windows

5. Modifique el archivo host y bloquee algunos sitios web de seguridad

La lista agregada es de la siguiente manera:

p>

127.0.0.1 www.360.cn

127.0.0.1 www.360safe.cn

127.0.0.1 www. 360safe.com

127.0.0.1 www.chinakv.com

127.0.0.1 www.rising.com.cn

127.0.0.1 rise.com.cn

127.0.0.1 dl.jiangmin.com

127.0.0.1 jiangmin.com

127.0.0.1 www.jiangmin.com

127.0.0.1 www.duba.net

127.0.0.1 www.eset.com.cn

127.0.0.1 www.nod32.com

127.0.0.1 shadu.duba.net

127.0.0.1 union.kingsoft.com

127.0.0.1 www.kaspersky.com.cn

127.0.0.1 kaspersky.com .cn

127.0 .0.1 virustotal.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.cnnod32.cn

127.0.0.1 www.lanniao.org

127.0.0.1 www.nod32club.com

127.0.0.1 www.dswlab.com

127.0.0.1 bbs.sucop.com

127.0.0.1 www.virustotal.com

127.0.0.1 tool.ikaka.com

127.0.0.1 360.qihoo.com

6. En archivos de virus derivados y archivos autorun.inf en el directorio raíz de cada unidad

El formato de datos del archivo Autorun.inf es el siguiente:

[ejecución automática]

shell\open\ command=rundll32 system.dll, explorar

shell\explore\co

mmand=rundll32 system.dll, explorar

7. Lista de cadenas especificadas en la ventana

Kingsoft Antivirus, 360 Security Guard, Jiangmin, Trojan, Special Killer, Downloader, NOD32, Kabbah Ski, McAfee , Super Patrol, Qihoo, Antivirus...

8. Archivos del sistema infectados

Los archivos del sistema infectados son:

System32\appmgmts .dll

System32\schedsvc.dll

System32\srsvc.dll

System32\w32time.dll

System32\wiaservc.dll

El método de infección es:

Escribir el código del archivo de virus "system.dll" comenzando desde la cabecera del archivo. Hasta que esté terminado.

Comportamiento de la red

Conéctese a la red para descargar la lista de virus, descargue el archivo de virus de acuerdo con la lista de virus y ejecute el archivo

/count.txt

El contenido es el siguiente:

/ly/a4.exe

/ly/a1.exe

/ly/a3 .exe

/ly/a10.exe

/ly/a40.exe

/ly/a25.exe

/ly /a13.exe

/ly/a36.exe

/ly/a41.exe

/ly/a9.exe

/ly/a49.exe

/ly/a23.exe

/ly/a32.exe

/ly/a42.exe

/hm/b12.exe

/hm/b17.exe

/hm/b13.exe

/hm/b35.exe

/hm/b15.exe

/hm/b7.exe

/hm/b21.exe

/hm/b44.exe

/hm/b3 .exe

/hm/b10.exe

/hm/b5.exe

/hm/b8. exe

/hm /b2.exe

/hm/b4.exe

/hm/b11.exe

/hm/ b1.exe

/bm/c1.exe

/bm/c2.exe

/bm/c3.exe

/ vip/aaa.exe

/vip/cj.exe

Nota: System32 es una ruta variable. El virus consulta al sistema operativo para determinar la ubicación de la carpeta del sistema actual. La ruta de instalación predeterminada en Windows2000/NT es C:\Winnt\System32, la ruta de instalación predeterminada en Windows95/98/me es C:\Windows\System y la ruta de instalación predeterminada en WindowsXP es C:\Windows\System32.

Temp = C:\Documents and Settings\AAAAAA\Local Settings\Temp variable de caché TEMP del usuario actual

Directorio donde se encuentra Windir\ WINDODWS

DriveLetter\ Directorio raíz de la unidad lógica

ProgramFiles\ Directorio de instalación predeterminado de los programas del sistema

HomeDrive = C:\Partición donde se encuentra el sistema actualmente iniciado

Documentos y configuraciones\ Raíz del documento del usuario actual Índice

[Editar este párrafo] Plan de liquidación

1. Desconecte la red.

2. Utilice Antiy Defense Line para eliminar completamente este virus (recomendado). Haga clic aquí para descargar Antiy Defense Line gratis.

Utilice "Gestión de servicios" en Antiy Defense Tool para cerrar los siguientes servicios

Gestión de aplicaciones

Programador de tareas

Servicio de restauración del sistema

Adquisición de imágenes de Windows (WIA)

Hora de Windows

3. Elimine los siguientes archivos después de reiniciar la computadora

DriveLetter\autorun.inf

Documentos y configuración\Administrador\Configuración local\Temp\dll62.dll

DriveLetter\system.dll

System32\appwinproc.dll

System32\drivers\etc\hosts

System32\Nskhelper2.sys

System32\NsPass0.sys

System32\NsPass1.sys

System32\NsPass2.sys

System32\NsPass3.sys

System32\NsPass4.sys

HomeDrive\system.dll

InicioDrive \autorun.inf

System32\appmgmts.dll

System32\schedsvc.dll

System32\srsvc.dll

System32\ w32time .dll

System32\wiaservc.dll

4. Copie los siguientes archivos desde una computadora normal al directorio System32

System32\appmgmts.dll

System32\schedsvc.dll

System32\srsvc.dll

System32\w32time.dll

System32\wiaservc.dll

5. Elimine todas las entradas de registro de secuestro de imágenes agregadas por virus;

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"Nombre de archivo secuestrado"]

Eliminar las claves de registro de servicios agregadas por el virus

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\"Service Name"]