详细技术:该木马可以使远程恶意用户完全访问受感染主机。该木马自身是一个 Windows PE EXE 文件, 大小 9216 字节。 该程序通过 Trojan-DropperIchitaroTarodropa 在受感染主机上创建木马文件,利用在 Ichitaro Office Suite 中的漏洞入侵到受感染主机。
安 装: 一旦运行,该后门复制自身到 Windows 根目录下并命名为 "wab32exe" ,然后运行它的这个副本: %Windir%\wab32exe 原始可执行文件将被删除。 该木马同样创建以下注册表键值: [HKLM\Software\Microsoft\Active Setup\Installed Components\{ 254F 4E25-A 65F -2764-0003-070806050704}] "StubPath" = "%Windir%\wab32exe" 该木马将创建唯一标识符, ")!VoqAI4" 来标识它已经在该系统中存在。
行为分析: 该后门自身是加密服务器 Poison Ivy 的组件,一个普通的远程管理程序。 该后面将为远程恶意用户提供完全访问受感染主机的权限,并可以执行一定范围的命令, 如:获得系统信息,下载并执行文件,创建和移动目录,修改系统注册表键值,终止正在使用的进程,截取桌面截图并发送给远程恶意用户,使被感染主机关机等。
清除指导: 1 删除后门文件: %Windir%\wab32exe 2 删除以下注册表键值: [HKLM\Software\Microsoft\Active Setup\Installed Components\{ 254F 4E25-A 65F -2764-0003-070806050704}] "StubPath" = "%Windir%\wab32exe" 3 更新反病毒数据库并且执行一次全盘扫描>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)