病毒别名：Win32.Troj.SBackdoor.10

病毒行为

被攻击者解决方案

病毒别名：Win32.Troj.SBackdoor.10

处理时间：

威胁级别：★★

中文名称：虚幻后门

病毒类型：木马

影响系统：WinNT

病毒行为

这是一个运行在NT系统的很具有迷惑性的后门病毒。用户电脑被安装该后门以后，该病毒将自己复制到系统目录并将它启动为系统服务进程，复制后的文件名与任务管理器名字仅仅最后一个字母不同，很容易让人误以为是任务管理器。病毒创建的服务名字是：WindowSocketAPIService，对该服务的描述是：“传输客户端和服务器之间的网络程序借口(API)服务消息。如果服务停止，socket API 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。”，伪装成系统服务的模样，企图以假乱真。然后它打开后门供攻击者访问并控制中毒电脑。攻击者可以启动/停止木马、关闭电脑、列举进程、关闭指定进程、列举服务、关闭指定服务、工具指定的IP的指定端口、下载并运行网络上指定的程序、清除日志等。

1.当该木马安装以后，它将自己复制为%System%\\taskmgn.exe，并将它启动为服务进程。

2.创建服务WindowSocketAPIService，修改注册表：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WindowSocketAPIService

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"=<病毒程序的全路径的十六进制UNICODE码>

"DisplayName"="Window Socket API Service"

"ObjectName"="LocalSystem"

"Description"="传输客户端和服务器之间的网络程序借口(API)服务消息。如果服务停止，socket API 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WindowSocketAPIService\\Security]

"Security"=<系统相关的十六进制码>

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WindowSocketAPIService\\Enum]

"0"="Root\\\\LEGACY_WINDOWSOCKETAPISERVICE\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

3.安装该木马后，它在TCP端口3043开设后门。

被攻击者解决方案

启动（-run）/卸载（-remove）木马；

重启系统（-rboot）；

关闭系统（-shutdown）；

列举进程（-enumpro）；

杀指定ID的进程（-killpro processId）；

列举服务（-enumsrv）；

杀指定服务名的服务（-killsrv ServiceName）；

列举系统信息（-sinfo），包括内存信息、系统版本信息、系统运行时间、计算机名、Window安装目录以及系统目录等等；

攻击指定IP的指定端口（-syn ip port）；

从指定的网址下载文件到当前目录的指定文件（-download ip filename）；

清理日志（-cleanlog）；

帮助信息（-help）。