Backdoor/Win32.Sykipot.bh分析
出处:安天实验室 时间:2012年2月23日
病毒标签
病毒名称: Backdoor/Win32.Skyipot.bh
病毒类型: 后门
文件 MD5: 18D8BC0E390D3C785D50DA235DF2848C
公开范围: 完全公开
危害等级: 4
文件长度: 36352 字节
感染系统: Windows 98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 无
病毒描述
该恶意程序为后门程序。程序运行后,衍生的DLL文件会注入到Outlook.exe或firefox.exe或Iexplore.exe进程中,并且只注入其中的一个进程,以先注入的为准,当这些进程访问互联网资源时,恶意程序会主动连接远程控制端,达到后门控制行为。恶意程序所使用的连接端口是443,所以容易与正常通信流量混淆,较难被察觉。
行为分析-本地行为
1、恶意程序运行后首先复制自身到C:\Documents and Settings\Administrator\Local Settings下并命名为msatp.exe
2、恶意程序同时释放DLL文件WSE4ED1.TMP到同一目录下。
3、恶意程序启动自身副本后结束自身进程并自删除。
3、副本进程会遍历当前系统进程,当存在Outlook.exe或firefox.exe或Iexplore.exe时,并且当这些进程有访问网络资源时,副本进程会将WSE4ED1.TMP注入到该进程中。
4、WSE4ED1.TMP线程会在启动60秒后连接远程控制端,达到后门控制行为。
5、msatp.exe通过注册表完成自启动。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 键值:"start"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\msatp.exe -install"
行为分析-网络行为
协议:TCP
端口:443
控制端域名:info.wilsonca***er.com
控制端IP地址:114.249.***.150
控制端地理位置:北京市
注:
%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Setti ngs\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
Wndows95/98/me中默认的安装路径是C:\Windows\System
WindowsXP中默认的安装路径是C:\Windows\System32
清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
点击下载(http://www.antiyfx.com)
2、推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)。
1) 使用ATOOL管理工具,“进程管理”结束病毒的进程。
2) 强行删除msatp.exe和WSE4ED1.TMP文件和注册表启动键值。 |
|