创意安天

 找回密码
 注册创意安天

Backdoor/Win32.Sykipot.bh分析

[复制链接]
发表于 2012-2-23 17:43 | 显示全部楼层 |阅读模式
Backdoor/Win32.Sykipot.bh分析
出处:安天实验室 时间:2012年2月23日


    病毒标签

         

病毒名称: Backdoor/Win32.Skyipot.bh
病毒类型: 后门
文件 MD5: 18D8BC0E390D3C785D50DA235DF2848C
公开范围: 完全公开
危害等级: 4
文件长度: 36352 字节
感染系统: Windows 98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 无

    病毒描述

         

    该恶意程序为后门程序。程序运行后,衍生的DLL文件会注入到Outlook.exe或firefox.exe或Iexplore.exe进程中,并且只注入其中的一个进程,以先注入的为准,当这些进程访问互联网资源时,恶意程序会主动连接远程控制端,达到后门控制行为。恶意程序所使用的连接端口是443,所以容易与正常通信流量混淆,较难被察觉。

    行为分析-本地行为

          1、恶意程序运行后首先复制自身到C:\Documents and Settings\Administrator\Local Settings下并命名为msatp.exe
2、恶意程序同时释放DLL文件WSE4ED1.TMP到同一目录下。
3、恶意程序启动自身副本后结束自身进程并自删除。
3、副本进程会遍历当前系统进程,当存在Outlook.exe或firefox.exe或Iexplore.exe时,并且当这些进程有访问网络资源时,副本进程会将WSE4ED1.TMP注入到该进程中。
4、WSE4ED1.TMP线程会在启动60秒后连接远程控制端,达到后门控制行为。
5、msatp.exe通过注册表完成自启动。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 键值:"start"="C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\msatp.exe -install"

    行为分析-网络行为

         

协议:TCP
端口:443
控制端域名:info.wilsonca***er.com
控制端IP地址:114.249.***.150
控制端地理位置:北京市
注:
%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir%             WINDODWS所在目录
%DriveLetter%          逻辑驱动器根目录
%ProgramFiles%          系统程序默认安装目录
%HomeDrive%           当前启动的系统的所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%             \Documents and Settings\当前用户\Local Setti ngs\Temp
%System32%           系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
Wndows95/98/me中默认的安装路径是C:\Windows\System
WindowsXP中默认的安装路径是C:\Windows\System32

    清除方案

         

1、使用安天防线可彻底清除此病毒(推荐)。
点击下载(http://www.antiyfx.com)
2、推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)。
1) 使用ATOOL管理工具,“进程管理”结束病毒的进程。
2) 强行删除msatp.exe和WSE4ED1.TMP文件和注册表启动键值。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 04:36

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表