Backdoor.Win32.PcClient.rds是什麽病毒？

病毒名稱： Backdoor/Win32.Agent.uzw分析

病毒類型：後門

文件 MD5： F828D20FFB075B69E481BA089AE1B26B

公開範圍：完全公開

危害等級： 5

文件長度： 30,208 字節

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++ 6.0

加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

[編輯本段]病毒描述

該病毒為後門類，病毒運行後檢測調試器，遍歷進程查找指定的進程名稱，如果存在調試器或含有指定的進程名稱則病毒體退出；結束系統中的指定服務；在臨時目錄下衍生名稱為“dll***.dll”（***為隨機數字）的文件；加載衍生的dll文件。衍生自刪除批處理文件到臨時目錄下運行後刪除病毒體和批處理自身。衍生的動態鏈接庫文件被加載後，衍生Nskhelper2.sys文件到系統目錄下，並創建事件NsDlRk250，檢測當前的系統時間，如果年份大於2008則退出執行；否則創建遠程線程，連接網絡下載病毒文件、添加大量映像劫持、修改host文件，在各個盤根目錄下衍生病毒文件和autorun.inf文件、在系統目錄下釋放其他驅動文件等操作；衍生appwinproc.dll到系統目錄,檢測標題含有指定字符串的窗口並結束其進程，被感染計算機關機後病毒程序將感染被關閉服務對應的映像文件。

[編輯本段]行為分析

本地行為

1、文件運行後會釋放以下文件

%DriveLetter%\autorun.inf

%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll

%DriveLetter%\system.dll

%System32%\appwinproc.dll

%System32%\drivers\etc\hosts

%System32%\Nskhelper2.sys

%System32%\NsPass0.sys

%System32%\NsPass1.sys

%System32%\NsPass2.sys

%System32%\NsPass3.sys

%System32%\NsPass4.sys

%HomeDrive%\system.dll

%HomeDrive%\autorun.inf

2、新增註冊表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\“被劫持的文件名”]

註冊表值: "Debugger"

類型: REG_SZ

值: "svchost.exe"

被劫持的文件名稱列表如下：

360safe.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、ANTI-TROJAN.exe、anti.exe、antivir.exe、atrack.exe、AUTODOWN.exe、AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、CLEANER3.exe、DAVPFW.exe、dbg.exe、debu.exe、DV95.exe、DV95_O.exe、DVP95.exe、ECENGINE.exe、EFINET32.exe、ESAFE.exe、ESPWATCH.exe、explorewclass.exe、F-AGNT95.exe、F-PROT.exe、f-prot95.exe、f-stopw.exe、FINDVIRU.exe、fir.exe、fp-win.exe、FRW.exe、IAMAPP.exe、IAMSERV.exe、IBMASN.exe、IBMAVSP.exe、ice.exe、IceSword.exe、ICLOAD95.exe、ICLOADNT.exe、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、LUCOMSERVER.exe、mcafee.exe、microsoft.exe、mon.exe、moniker.exe、MOOLIVE.exe、MPFTRAY.exe、ms.exe、N32ACAN.exe、navapsvc.exe、navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、Rav.exe、RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、regedit.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、sreng.exe、SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、TDS2-98.exe、TDS2-NT.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows優化大師.exe、wink.exe、XDelbox.exe、zonealarm.exe

創建服務名為：NsDlRK25、NsPsDk00、NsPsDk01、NsPsDk02、NsPsDk03、NsPsDk04等6個服務。

服務的路徑分別為%System32%目錄下的對應驅動文件。

3、查找的指定的進程名如下：

OllyDbg.exe、OllyICE.exe、PEditor.exe、LordPE.exe、C32Asm.exe、ImportREC.exe

4、被禁用的服務列表如下：

Schedule、AppMgmt、srservice、W32Time、stisvc

對應的服務名稱為：

Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

5、修改host文件，屏蔽部分安全類網站

添加的列表如下：

127.0.0.1 www.360.cn

127.0.0.1 www.360safe.cn

127.0.0.1 www.360safe.com

127.0.0.1 www.chinakv.com

127.0.0.1 www.rising.com.cn

127.0.0.1 rising.com.cn

127.0.0.1 dl.jiangmin.com

127.0.0.1 jiangmin.com

127.0.0.1 www.jiangmin.com

127.0.0.1 www.duba.net

127.0.0.1 www.eset.com.cn

127.0.0.1 www.nod32.com

127.0.0.1 shadu.duba.net

127.0.0.1 union.kingsoft.com

127.0.0.1 www.kaspersky.com.cn

127.0.0.1 kaspersky.com.cn

127.0.0.1 virustotal.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.cnnod32.cn

127.0.0.1 www.lanniao.org

127.0.0.1 www.nod32club.com

127.0.0.1 www.dswlab.com

127.0.0.1 bbs.sucop.com

127.0.0.1 www.virustotal.com

127.0.0.1 tool.ikaka.com

127.0.0.1 360.qihoo.com

6、在各個驅動器根目錄下衍生病毒文件和autorun.inf文件

Autorun.inf文件的數據格式如下：

[autorun]

shell\open\command=rundll32 system.dll,explore

shell\explore\command=rundll32 system.dll,explore

7、窗口指定字符串列表

金山毒霸，360安全衛士，江民，木馬，專殺，下載者，NOD32，卡巴斯基、McAfee、超級巡警、奇虎、殺毒……

8、感染系統文件

被感染的系統文件有：

%System32%\appmgmts.dll

%System32%\schedsvc.dll

%System32%\srsvc.dll

%System32%\w32time.dll

%System32%\wiaservc.dll

感染方式為：

從文件的頭部開始寫入病毒文件“system.dll”的代碼。直到寫完為止。

網絡行為

連接網絡下載病毒列表，並依照病毒列表下載病毒文件並執行

/count.txt

文件內容如下：

/ly/a4.exe

/ly/a1.exe

/ly/a3.exe

/ly/a10.exe

/ly/a40.exe

/ly/a25.exe

/ly/a13.exe

/ly/a36.exe

/ly/a41.exe

/ly/a9.exe

/ly/a49.exe

/ly/a23.exe

/ly/a32.exe

/ly/a42.exe

/hm/b12.exe

/hm/b17.exe

/hm/b13.exe

/hm/b35.exe

/hm/b15.exe

/hm/b7.exe

/hm/b21.exe

/hm/b44.exe

/hm/b3.exe

/hm/b10.exe

/hm/b5.exe

/hm/b8.exe

/hm/b2.exe

/hm/b4.exe

/hm/b11.exe

/hm/b1.exe

/bm/c1.exe

/bm/c2.exe

/bm/c3.exe

/vip/aaa.exe

/vip/cj.exe

註：%System32%是壹個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP緩存變量

%Windir%\ WINDODWS所在目錄

%DriveLetter%\ 邏輯驅動器根目錄

%ProgramFiles%\ 系統程序默認安裝目錄

%HomeDrive% = C:\ 當前啟動的系統的所在分區

%Documents and Settings%\ 當前用戶文檔根目錄

[編輯本段]清除方案

1、斷開網絡。

2、使用安天防線可徹底清除此病毒(推薦)，點擊此處免費下載安天防線。

使用安天防線工具中的“服務管理”關閉下列服務

Application Management

Task Scheduler