| 词条 | 特洛伊病毒Win32.FasbeafFamily |
| 释义 | § 其它名称 Win32.Fasbeaf 病毒属性:特洛伊木马 危害性:中等危害 流行程度: § 具体介绍 病毒特性: Win32/Fasbeaf是一族后门特洛伊病毒,允许未经授权的访问被感染机器。它们还有代理的功能。 感染方式: 运行时,Fasbeaf变体使用一个任意文件名和一个.exe扩展名复制到%System%目录。文件名可能包含一串阿拉伯数字字符,例如"sw8o6ot.exe" 或 "wxjmtaxzj.exe"。特洛伊运行这个新的副本并删除原始文件。 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 Fasbeaf添加以下注册表键值,以确保每次系统启动时都能运行这个副本: HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<random name > = "%System%\\<random name >.exe" HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\<random name> = "%System%\\<random name>.exe" 运行期间,如果这些键值被删除,特洛伊会反复生成这些键值。 Fasbeaf还会在被感染机器的%Windows%目录使用相同的名称生成一个互斥体,但是以下划线(_)替代反斜线符号(\\)。例如,一台机器默认安装Windows XP,互斥体名称可能是"C:_WINDOWS"。 注:'%Windows%'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。 危害: 代理功能 Fasbeaf变体为了能够连接会监听任意端口。很多变体有一个信任的站点列表,并检查引入的连接是否来自信任的IP地址。确定一个连接的时候,特洛伊被命令生成一个代理服务器,或者关闭连接和当前端口。 Fasbeaf被命令连接一个特定的IP/端口,并通过被感染机器传递Internet通信量。或者接受以下命令,Fasbeaf设置另一个监听socket,发送端口和本地机器IP给它的控制者。随后,监听一个新的socket,一旦确定连接,在控制者和开始连接的站点之间传递通信量。 后门功能 Fasbeaf变体包含一个站点和连接的相应的端口的列表。例如: 69.61.23.34:12765 216.195.34.234:12765 216.195.34.235:12765 81.9.3.82:7777 81.222.131.45:7777 smallpuppy.biz:7777 一旦连接上,特洛伊就被命令执行各种操作,以及它的代理功能,包括: 下载恶意程序的更新; 下载并运行任意文件; 停止运行。 一些命令改变Fasbeaf的行为。例如,特洛伊被命令不检查连接到它的代理端口的站点。 特洛伊还会发送不同的信息到远程站点,包括: 被感染机器的Windows 版本; 特洛伊监听的代理端口; 机器名; 当前用户名; 关于特洛伊的当前状况和行为的信息。 所有的命令进行完时,特洛伊关闭后门连接,但是大约每隔5分钟就会重新连接(这个周期通过后门命令大约1小时改变一次)。 其它信息 根据后门命令,特洛伊可能生成以下注册表: HKLM\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache\\"%System%\\<random name>.exe" = <data> HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\SharedDLLs\\"%System%\\<random name>.exe" = <data> 这里的<random name>是特洛伊当前运行的文件名; <data> 是通过后门收到的数据。 这些键值还生成特洛伊每次更新的时间。<random name>是更新的变体名称。Fasbeaf不使用这些键值,但是会将这些值报告给后门连接。 清除: KILL安全胄甲最新版本可检测/清除此病毒。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。