天高云淡

危险等级：★★★病毒名称：Backdoor.Win32.RedGirl.a截获时间：2007-7-15本报告更新时间：2007-9-2入库版本：19.32.00类型：后门感染的操作系统：Windows 9x/NT/2000/XP/2003/Vista威胁情况：传播级别：中全球化传播态势：中清除难度：轻易破坏力：高破坏手段：远程控制这是一个由Microsoft Visual C 6.0 编写的后门病毒，病毒图标为一个视频文件的图标，文件名为：“姐姐的视频录像”，欺骗不明真相的用户点击运行。可结束多种杀毒软件，可接受黑客远程操纵，进行多种危险操作，如下载中毒电脑的文件、窥探屏幕，窃取密码等。
病毒运行后,先创建一个线程,该线程,利用FindWindow查找如下信息:“主动防御 信息”“主动防御 警报”“答应”“答应(A)”“主动防御 警告”“跳过”“跳过(S)”‘卡巴斯基互联网安全套装 6.0′“微点主动防御软件 ““放行”“不删除”“添加为可信程序”“下次采取相同策略”“确定”并向这些按钮发送WM_KeyDown,WM_LButtonDown,WM_LButtonUp,WM_Close消息,使上述杀毒软件失效.
接下来,病毒会遍历%SYSTEM%目录,查找”RedGirl.exe”文件,假如不存在,先从自身资源查找”DLL”资源名,然后将其释放到%SYSTEM%中,并更名为RedGirl.dat,利用CreateRemoteThread调用.再把自身复制过去,并用CreateProcess启动.
最后,开启一个服务,其服务名和描述均为”RedGirl”.这是一个功能强大的木马病毒，一旦中毒，本地系统将完全在其远程客户端的操控之下。客户端可以对已中病毒的服务器端进行操控,如:
1、远程文件操作：包括上传、下载、复制、删除文件或目录2、远程关机、重启、拨号控制，光驱控制，注册表锁定，鼠标锁定，对桌面图标、任务栏等锁定和隐藏等系统控制; 3、获取计算机CPU速度、计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据; 4、对按键监视任务监视和终止以及直接的屏幕监视和控制; 5、偷窃用户密码;
此病毒不能自己传播，但有恶意的人可以通过各种手段欺骗用户，比如：此样本的图标为一个视频文件的图标，文件名为：“姐姐的视频录像”欺骗不明真相的用户点击运行。安全建议：1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。3 不浏览不良网站，不随意下载安装可疑插件。4 不接收QQ、MSN、Emial等传来的可疑文件。5 上网时打开杀毒软件实时监控功能。6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。清除办法：1 . 瑞星杀毒软件清除办法：安装瑞星杀毒软件，升级到19.32.00版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

[Read more →]