|
Backdoor.G_Door(冰河)
一、木马基本特性
二、命名
| 反病毒产品 |
命名 |
| AVP |
Backdoor.G_Door |
三、介绍
这个后门基于标准的客户/服务技术上,包括客户端和服务端,两者都是WINDOWS执行文件(PE
EXE)。这后门服务端是安装在受害人的计算机上,客户端从远端控制他们。
安装
当服务端运行在一个受害人的计算机上,它把自己安装到计算机上,把自己移到WINDOWS目录下并更名为KERNEL32.EXE,修改系统注册表键值:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\WIN98\\SYSTEM\\KERNEL32.EXE"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
@="C:\\WIN98\\SYSTEM\\KERNEL32.EXE"
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="C:\\WIN98\\SYSTEM\\KERNEL32.EXE %1"
[HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]
@="C:\\WIN98\\SYSTEM\\KERNEL32.EXE %1"
这里WINDOWS目录是根据系统的配置而确定的。(上面的是"C:\\WIN98\SYSTEM")
服务端已经在系统注册表注册,系统启动时服务端会自动执行,并且每次打开一个TXT文件它就会被执行一次。通过这种方法,服务端可以在WINDOWS
启动、重启后运行,如果它的进程在系统内存中被用户卸载的话。
此外,服务端不停的(大约每秒10次)核对它的注册表键值。万一键值会被改变(服务文件索引被删除),服务端将再次恢复它们到"感染"的状态。
这个后门服务程序终止进程不是一个简单的问题:它不可能被删除或给后门服务程序KERNEL3.EXE重命名(它是被激活的且被系统锁定的);这个注册表键值会被服务程序再次受控(这样键值不可能因重启而从注册表中"清除")。
方法
在WIN9X系统下,重启计算机在DOS模式下并把KERNEL32.EXE从WINDOWS系统目录下删除,然后重新启动WINDOWS,在系统注册表成功清除这个文件的索引,清楚这个后门是可能的。
服务端
为了和客户端取得联系,服务端定时监听端口7626。当服务端与一个客户端取得联系时,服务端可以执行客户端的命令,控制这台受侵害的计算机:操纵受侵害的文件系统,包括拷贝、移动、删除、创建文件等。
客户端
客户端可以去扫描活跃的服务端。当与一个服务端取得联系时,这个客户端控制这台受侵害计算机的资源。这种图形界面客户端适合中文系统。
病毒观察疫情追踪由www.virusview.net独家策划。转载请注明出处
|
