时间:2012-06-28 13:37:30 作者:不思议游戏 浏览量:39
近期,AVG病毒实验室捕获了一种“后门”程序,该木马一旦进入到系统,就会长期驻留,获取用户信息发送到服务端。并且,该木马还会等待服务端指令,执行下载病毒、上传敏感数据等功能。
该“后门”程序利用目前较流行的“借尸”方法(以CREATE_SUSPENDED标志调用CreateProcess创建进程,通过调用ZwUnmapViewOfSection、VirtualAllocEx和ZwWriteVirtualMemory修改目标进程数据,然后调用ZwGetContextThread和ZwSetContextThread修改目标进程线程执行位置,最后调用ZwResumeThread恢复目标进程执行)去创建自己的“僵尸”进程,发挥“后门”的主要功能。
“僵尸”进程启动后,会获取所需API的地址。
并且检查自己的路径是否是windows\ggdrive32.exe,
如果不是在windows目录下,它会检查系统防火墙,并将ggdrive32.exe添加到系统防火墙授权程序列表中,检查杀软和系统维护工具进程,一旦发现,就会将其结束掉。
如果在windows目录下,它会创建一个线程,然后等待该线程返回。
该线程包含此木马的所有后门功能,包括:接受控制端命令、木马更新,扫描,下载上传数据,收集用户信息等功能,下图列出了该后门的部分命令和功能。
此类木马一旦入侵到您的系统,控制者会在您的系统中来去自如,危害相当严重。
目前,AVG已检测到此类后门程序为BackDoor.Generic15.BFOX,鉴于此木马的危害性严重,AVG提醒广大用户注意及时更新您的安全软件。并且AVG建议没有安装安全软件的用户可以在AVG中国官网上下载AVG中文免费版,对您的电脑以及个人信息进行保护。