Win32/Fasbeaf.C,允許未經授權的訪問被感染機器。它們還有代理的功能。運行時,Fasbeaf.C 使用一個任意檔案名稱和一個。exe擴展名複製到%System%目錄。檔案名稱可能包含一串3到13阿拉伯數字字元,例如"sw8o6ot.exe" 或 "wxjmtaxzj.exe"。特洛伊運行這個新的副本並刪除原始檔案。
基本介紹
- 中文名:特洛伊病毒Win32.Fasbeaf.C
- 外文名:Troj/Bdoor-ER (Sophos), BackDoor-COQ (McAfee)
- 分類:是一族後門特洛伊病毒
- 危害性:中等危害
- 病毒屬性:特洛伊木馬
特洛伊病毒,感染方式,代理功能,後門功能,其它信息,
特洛伊病毒
其它名稱:, Win32.Fasbeaf.C, Win32/FWall.10000!Backdoor, BKDR_(Trend), Backdoor.Win32.
感染方式
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
Fasbeaf添加以下註冊表鍵值,以確保每次系統啟動時都能運行這個副本:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random name > = "%System%\<random name >.exe"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random name> = "%System%\<random name>.exe"
運行期間,如果這些鍵值被刪除,特洛伊會反覆生成這些鍵值。
Fasbeaf還會在被感染機器的%Windows%目錄使用相同的名稱生成一個互斥體,但是以下劃線(_)替代反斜線符號(\)。例如,一台機器默認安裝Windows XP,互斥體名稱可能是"C:_WINDOWS"。
註:'%Windows%'是一個可變的路徑。病毒通過查詢作業系統來決定Windows資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
代理功能
Fasbeaf.C為了能夠連線會監聽任意連線埠。很多變體有一個信任的站點列表,並檢查引入的連線是否來自信任的IP位址。確定一個連線的時候,特洛伊被命令生成一個代理伺服器,或者關閉連線和當前連線埠。
Fasbeaf.C被命令連線一個特定的IP/連線埠,並通過被感染機器傳遞Internet通信量。或者接受以下命令,Fasbeaf設定另一個監聽socket,傳送連線埠和本地機器IP給它的控制者。隨後,監聽一個新的socket,一旦確定連線,在控制者和開始連線的站點之間傳遞通信量。
後門功能
Fasbeaf.C嘗試在7777連線埠連線"站點。
一旦連線上,特洛伊就被命令執行各種操作,以及它的代理功能,包括:
下載惡意程式的更新;
停止運行。
一些命令改變Fasbeaf的行為。例如,特洛伊被命令每隔5分鐘或1小時連線到遠程站點。
特洛伊還會傳送不同的信息到遠程站點,包括:
被感染機器的Windows 版本;
特洛伊監聽的代理連線埠;
機器名;
當前用戶名;
關於特洛伊的當前狀況和行為的信息。
修改系統安全設定
Fasbeaf.C使Windows Firewall通知失效,並將自己添加到Windows Firewall 允許通過的軟體列表。
其它信息
根據後門命令,特洛伊可能生成以下註冊表:
HKLM\Software\Microsoft\Windows\ShellNoRoam\MUICache\"%System%\<random name>.exe" = <data>
HKCU\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\"%System%\<random name>.exe" = <data>
這裡的<random name>是特洛伊當前運行的檔案名稱;
<data> 是通過後門收到的數據。
這些鍵值還生成特洛伊每次更新的時間。<random name>是更新的變體名稱。Fasbeaf不使用這些鍵值,但是會將這些值報告給後門連線。
清除:KILL安全胄甲最新版本可檢測/清除此病毒。
