基本信息

病毒描述

行为分析

安全建议

基本信息

病毒名称：Backdoor.Win32.RedGirl.a

截获时间：2007-7-15

本报告更新时间：2007-9-2

入库版本：19.32.00

类型：后门

感染的操作系统：Windows 9x/NT/2000/XP/2003/Vista

威胁情况：

危险等级：★★★

传播级别：中

已感染案例：0-100

已经感染此病毒网站数量：0-5

全球化传播态势：中

清除难度：容易

破坏力：高

破坏手段：远程控制

病毒描述

这是一个由Microsoft Visual C++ 6.0 编写的后门病毒，病毒图标为一个视频文件的图标，文件名为：“姐姐的视频录像”，欺骗不明真相的用户点击运行。可结束多种杀毒软件，可接受黑客远程操纵，进行多种危险操作，如下载中毒电脑的文件、窥探屏幕，窃取密码等。

行为分析

病毒运行后,先创建一个线程,该线程,利用FindWindow查找如下信息:

"主动防御 信息"

"主动防御 警报"

"允许"

"允许(A)"

"主动防御 警告"

"跳过"

"跳过(S)"

'卡巴斯基互联网安全套装 6.0'

"微点主动防御软件 "

"放行"

"不删除"

"添加为可信程序"

"下次采取相同策略"

"确定"

并向这些按钮发送WM_KeyDown,WM_LButtonDown,WM_LButtonUp,WM_Close消息,使上述杀毒软件失效. 字串5

接下来,病毒会遍历%SYSTEM%目录,查找"RedGirl.exe"文件,如果不存在,先从自身资源查找"DLL"资源名,然后将其释放到%SYSTEM%中,并更名为RedGirl.dat,利用CreateRemoteThread调用.再把自身复制过去,并用CreateProcess启动.

最后,开启一个服务,其服务名和描述均为"RedGirl".

这是一个功能强大的木马病毒，一旦中毒，本地系统将完全在其远程客户端的操控之下。

客户端可以对已中病毒的服务器端进行操控,如:

1、远程文件操作：包括上传、下载、复制、删除文件或目录

2、远程关机、重启、拨号控制，光驱控制，注册表锁定，鼠标锁定，对桌面图标、任务栏等锁定和隐藏等系统控制;

3、获取计算机CPU速度、计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;

4、对按键监视任务监视和终止以及直接的屏幕监视和控制;

5、偷窃用户密码;

此病毒不能自己传播，但有恶意的人可以通过各种手段欺骗用户，比如：此样本的图标为一个视频文件的图标，文件名为：“姐姐的视频录像”欺骗不明真相的用户点击运行。

安全建议

1 安装正版杀毒软件、个人防火墙和安全软件,并及时升级，杀毒软件每天至少升级三次。

2 使用“系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。