Backdoor/ZEGOST.5382

风险级别：高

传播能力：低

危害程度：中

相关漏洞： 无

发现日期： 2010-05-05

端口： 无

长度： 192,512 字节

语言： 英语

压缩壳： 无

别名： rojan-PSW.Win32.Bjlog.fwl(Kaspersky),BKDR_ZEGOST.SMF(Trendmicro),Backdoor.Trojan(Symantec),Mal/Generic-L(Sophos)

受影响系统： Windows NT, Windows Vista, Windows XP, Windows 2003, Windows 2000, Windows 95/98/ME

该后门是通过其它有害软件释放，也可能被其它恶意软件或用户无意下载。

一旦运行,释放一些相关文件到被感染系统，创建服务加载文件%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc

{random-name}.dlc文件接受远程命令完成有害操作：发送系统信息，屏幕监视，文件管理，视频监控，语音监控，下载文件等。

释放%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc文件，并在文件末尾添加一些垃圾数据为了有不同的md5值避免杀毒软件的检测

%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc ----detect as Backdoor/Gh0st.0F34 by Anchiva

创建服务加载释放的文件并使其每次伴随系统启动

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ias

%SystemRoot%\\System32\\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ias\\parameters

ServiceDll ="%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Comias70

%SystemRoot%\\System32\\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Comias70\\parameters

ServiceDll ="%ALLUSERSPROFILE%\\DRM\\{random-name}.dlc"

{random-name}.dlc文件释放%System32%\\svchost.exe.txt文件记录异常信息

{random-name}.dlc文件接受下列主机命令完成有害操作:发送系统信息，屏幕监视，文件管理，视频监控，语音监控，下载文件等。