Backdoor.Win32.Rbot.ccc分析报告
后门病毒Backdoor.Win32.Rbot.ccc,该病毒运行后复制自身到系统目录:%System32%\winup32.exe,使用bat批处理删除原文件,修改注册表实现自启动,修改防火墙规则……
病毒名称: Backdoor.Win32.Rbot.ccc
病毒类型: 后门类
文件 MD5: CB063869C537CD891C6069EF431D578B
文件长度: 118,784 字节
感染系统: windows 98以上版本
病毒描述:
该病毒为后门类,病毒运行后复制自身到系统目录:%System32%\winup32.exe,使用bat批处理删除原文件。 修改注册表,添加启动项,以达到随机启动的目的;修改防火墙默认放行列表。创建自身进程winup32.exe,开启端口连接网络,等待病毒控制端连接,连接成功后控制端能远程控制用户电脑。进行键盘记录,视频监控,文件操作,服务操作,注册表操作,摄像头抓图等。
行为分析:
1、病毒运行后,复制自身到系统目录下,并删除自身:
%System32%\winup32.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Windows Service Agent " = "winup32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: " Windows Service Agent " = "winup32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键值: 字串: " Windows Service Agent " = "winup32.exe"
3、修改防火墙默认放行列表:
| HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\winup32.exe |
键值: 字符串: "C:\WINDOWS\system32\winup32.exe:*:Enabled:winup32"
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\winup32.exe |
4、创建自身进程winup32.exe连接网络,等待病毒控制端连接,连接成功后控制端能远程控制用户电脑进行信息盗取:
| 协议:TCP 地址:65.31.97.35 端口:9999 协议:TCP 地址:218.212.16.53 端口:9999 |
5、该病毒通过网站挂马和其它下载型病毒下载传播
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
- 本文关键词:
