紅色女郎

病毒名稱：Backdoor.Win32.RedGirl.a

本報告更新時間：2007-9-2

類型：後門

感染的作業系統：Windows 9x/NT/2000/XP/2003/Vista

威脅情況：

危險等級：★★★

傳播級別：中

已感染案例：0-100

已經感染此病毒網站數量：0-5

全球化傳播態勢：中

清除難度：容易

破壞力：高

破壞手段：遠程控制

病毒運行後,先創建一個執行緒,該執行緒,利用FindWindow查找如下信息:

"主動防禦 信息"

"主動防禦 警報"

"允許"

"允許(A)"

"主動防禦 警告"

"跳過"

"跳過(S)"

'卡巴斯基網際網路安全套裝 6.0'

"微點主動防禦軟體 "

"放行"

"不刪除"

"添加為可信程式"

"下次採取相同策略"

"確定"

並向這些按鈕傳送WM_KeyDown,WM_LButtonDown,WM_LButtonUp,WM_Close訊息,使上述防毒軟體失效. 字串5

接下來,病毒會遍歷%SYSTEM%目錄,查找"RedGirl.exe"檔案,如果不存在,先從自身資源查找"DLL"資源名,然後將其釋放到%SYSTEM%中,並更名為RedGirl.dat,利用CreateRemoteThread調用.再把自身複製過去,並用CreateProcess啟動.

最後,開啟一個服務,其服務名和描述均為"RedGirl".

這是一個功能強大的木馬病毒，一旦中毒，本地系統將完全在其遠程客戶端的操控之下。

客戶端可以對已中病毒的伺服器端進行操控,如:

1、遠程檔案操作：包括上傳、下載、複製、刪除檔案或目錄

2、遠程關機、重啟、撥號控制，光碟機控制，註冊表鎖定，滑鼠鎖定，對桌面圖示、系統列等鎖定和隱藏等系統控制;

3、獲取計算機CPU速度、計算機名、註冊公司、當前用戶、系統路徑、作業系統版本、當前顯示解析度、物理及邏輯磁碟信息等多項系統數據;

4、對按鍵監視任務監視和終止以及直接的螢幕監視和控制;

5、偷竊用戶密碼;

此病毒不能自己傳播，但有惡意的人可以通過各種手段欺騙用戶，比如：此樣本的圖示為一個視頻檔案的圖示，檔案名稱為：“姐姐的視頻錄像”欺騙不明真相的用戶點擊運行。

1 安裝正版防毒軟體、個人防火牆和安全軟體,並及時升級，防毒軟體每天至少升級三次。

2 使用“系統安全漏洞掃描”，打好補丁，彌補系統漏洞。

3 不瀏覽不良網站，不隨意下載安裝可疑外掛程式。

4 不接收QQ、MSN、Emial等傳來的可疑檔案。

5 上網時打開防毒軟體實時監控功能。