销售客服:400-819-1313
客服中心

客服邮箱
kaba365@pcstars.com.cn

销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)

技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)

卡巴斯基中国地区每周病毒报告(2012年5月14日-2012年5月20日)
排名 病毒名称 病毒类型 周爆发率(%)
1. Trojan.Win32.Generic 木马 17.42
2. Net-Worm.Win32.Kido.ir 蠕虫 10.94
3. DangerousObject.Multi.Generic 危险对象 10.38
4. Virus.Acad.Pasdoc.gen 病毒 7.50
5. HiddenObject.Multi.Generic 隐藏对象 6.14
6. Trojan.Script.Iframer 木马 5.52
7. Net-Worm.Win32.Kido.ih 蠕虫 5.45
8. Trojan.Acad.Qfas.b 木马 5.19
9. Virus.Win32.Suspic.gen 病毒 4.40
10. Exploit.Script.Generic 漏洞利用程序 3.72

关注恶意软件:

  • 名称:Backdoor Win32 Agent cisw 后门程序
  • 大小:28107 字节
  • 是否加壳:是
  • 加壳方式:VPacker

行为描述:

创建文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\server.dll

创建注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHostnetserver
hex(7):53,65,72,76,69,63,65,4e,61,6d,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME
NextInstancedword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
Service"ServiceName"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
Legacydword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
ConfigFlagsdword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
Class"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
ClassGUID"{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
DeviceDesc"DisplayName"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
\Control*NewlyCreated*dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICENAME\0000
\ControlActiveService"ServiceName"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceNameType dword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceNameStart dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName ErrorControldword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceNameImagePath hex (2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,73,76,63,68,6f,73, 74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,65,72,76,65,72,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName DisplayName"DisplayName"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceNameObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName Description"远控七号远程管理系统服务端"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\Parameters ServiceDllhex (2):43,3a,5c,44,4f,43,55,4d,45,7e,31,5c,41,44,4d,49,4e,49,7e,31,5c,4c,4f,43,41,4c, 53,7e,31,5c,54,65,6d,70,5c,73,65,72,76,65,72,2e,64,6c,6c,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\Security Security hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00, 00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,04,0 0,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff ,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00, 01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,0 5,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00 ,05,12,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\Enum0
"Root\LEGACY_SERVICENAME\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\EnumCount dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ServiceName\Enum NextInstancedword:00000001

?

后门程序运行后会从资源中释放server.dll至临时目录,然后使用C:\WINDOWS\system32 \svchost.exe -k netserver将其启动为服务。然后使用cmd.exe /c del命令删除自身。释放的 server.dll是一个远程控制后门木马,作为服务启动后会调用Rundll32.exe执行其导出的 _ProcVersion函数,连接ip地址为61.134.65.**处的黑客,令黑客对用户计算机进行全方位的监控,如对受感染计算机屏幕、视频、音频、鼠标键盘进行操作等。另外木马还会打开用户远程登录功能并向 用户计算机中添加新的管理员用户,使得黑客可以远程登录到用户计算机。

专家预防建议:

  • 建立良好的安全习惯,不打开可疑邮件和可疑网站。
  • 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
  • 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
  • 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
  • 安装专业的防毒软件升级到最新版本,并开启实时监控功能。
  • 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
  • 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

热点新闻:

更多>>