Backdoor.Win32.Cakl.h分析报告
一、病毒标签:
病毒名称: Backdoor.Win32.Cakl.h
病毒类型: 后门类
文件 MD5: F21AE5BECCA6CF23B2DB0DE435A6224E
公开范围: 完全公开
危害等级: 4
文件长度: 284,672 字节
感染系统: windows 98以上版本
加壳类型: 未知
二、 病毒描述:
该病毒为后门类,病毒运行后,复制文件到系统目录下。修改注册表值破坏注册表safeboot键,导致无法进入安全模式,删除系统还原服务项。该病毒通过恶意网站、其它病毒/木马下载传播。主动连接网络下载相关病毒文件,开启端口等待病毒控制端连接,与控制端连接成功后,中毒机器会受到远程控制(屏幕监视,文件操作,注册表操作,上传下载等远程操作)。
三、 行为分析:
1、病毒运行后,释放文件到系统目录下:
%System32%\hdefx32.exe
%System32%\ntdefend32.dll
%System32%\ntkrnl32.dll
%WINDIR%\winnt32.sys
2、修改注册表值:
(1)破坏注册表safeboot键,导致无法进入安全模式:
列出部分删除键如下:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\AppMgmt
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Base
键值: 字串: "@" = "Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot Bus Extender
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot file system
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AFD
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AppMgmt
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Base
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Boot Bus Extender
键值: 字串: "@"="Driver Group"
列出部分新建键如下:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\AppMgmt\@
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\Base\@
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\Boot Bus Extender\@
键值: 字串: "@"="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\Boot file system\@
键值: 字串: "@" = "Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\AFD\@
键值: 字串: "@" = "Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\AppMgmt\@
键值: 字串: "@"="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\Base\@
键值: 字串: "@" = "Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\Boot Bus Extender\@
键值: 字串: "@" ="Driver Group"
(2) 删除系统还原服务项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "Description"="执行系统还原功能。 要停止服务,请从“我的电脑”的属性中的系统还原选项卡关闭系统还原"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "DisplayName"="System Restore Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice\Parameters
键值: 字串: "ServiceDll"="C:\WINDOWS\system32\srsvc.dll."
3、主动连接网络下载相关病毒文件,开启端口等待病毒控制端连接,列出部分网络地址如下:
协议:TCP 协议:TCP
地址:128.121.126.139 地址:169.132.13.103
端口:15963 端口:15963
4、该病毒通过恶意网站、其它病毒/木马下载传播;与控制端连接成功后,中毒机器会受到远程控制(屏幕监视,文件操作,注册表操作,上传下载等远程操作)。
注释:
%Windir%WINDODWS所在目录
%DriveLetter%逻辑驱动器根目录
%ProgramFiles%系统程序默认安装目录
%HomeDrive%当前启动系统所在分区
%Documents and Settings%当前用户文档根目录
%Temp%当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程gajkonline.exe
(2) 强行删除病毒文件
%System32%\hdefx32.exe
%System32%\ntdefend32.dll
%System32%\ntkrnl32.dll
%WINDIR%\winnt32.sys
(3) 恢复病毒修改的注册表项目
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\AppMgmt
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Base
键值: 字串: "@" = "Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot Bus Extender
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot file system
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AFD
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AppMgmt
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Base
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Boot Bus Extender
键值: 字串: "@"="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\AppMgmt\@
键值: 字串: "@" ="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\Base\@
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\Boot Bus Extender\@
键值: 字串: "@"="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\minimal.xxx\Boot file system\@
键值: 字串: "@" = "Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\AFD\@
键值: 字串: "@" = "Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\AppMgmt\@
键值: 字串: "@"="Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\Base\@
键值: 字串: "@" = "Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\network.xxx\Boot Bus Extender\@
键值: 字串: "@" ="Driver Group"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "Description"="执行系统还原功能。 要停止服务,请从“我的电脑”的属性中的系统还原选项卡关闭系统还原"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "DisplayName"="System Restore Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice
键值: 字串: "ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srservice\Parameters
键值: 字串: "ServiceDll"="C:\WINDOWS\system32\srsvc.dll."
转载地址;http://technic.i8cn.com/news3937.htm
| 欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:i8cn 作者:佚名
天下网吧·网吧天下
闽公网安备35010202000238号