词语大全 > 特洛伊病毒Win32.Fasbeaf.A

特洛伊病毒Win32.Fasbeaf.A

Win32/Fasbeaf.A是一族后门特洛伊病毒,允许未经授权的访问被感染机器。它们还有代理的功能。运行时,Fasbeaf.A 使用一个任意文件名和一个。exe扩展名复制到-System-目录。文件名可能包含一串3到13阿拉伯数字字符,例如"sw8o6ot.exe" 或 "wxjmtaxzj.exe"。特洛伊运行这个新的副本并删除原始文件。KILL安全胄甲最新版本可检测/清除此病毒。

Win32.Fasbeaf.A, Backdoor.(Kaspersky), Backdoor/.Server

特洛伊木马 危害性:中等危害 流行程度:

感染方式

注:'-System-'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

Fasbeaf添加以下注册表键值,以确保每次系统启动时都能运行这个副本:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random name > = "-System-\<random name >.exe"

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random name> = "-System-\<random name>.exe"

运行期间,如果这些键值被删除,特洛伊会反复生成这些键值。

Fasbeaf还会在被感染机器的-Windows-目录使用相同的名称生成一个互斥体,但是以下划线(_)替代反斜线符号(\)。例如,一台机器默认安装Windows XP,互斥体名称可能是"C:_WINDOWS"。

注:'-Windows-'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。

Fasbeaf.A为了能够连接会监听任意端口。很多变体有一个信任的站点列表,并检查引入的连接是否来自信任的IP地址。确定一个连接的时候,特洛伊被命令生成一个代理服务器,或者关闭连接和当前端口。

Fasbeaf.A被命令连接一个特定的IP/端口,并通过被感染机器传递Internet通信量。或者接受以下命令,Fasbeaf设置另一个监听socket,发送端口和本地机器IP给它的控制者。随后,监听一个新的socket,一旦确定连接,在控制者和开始连接的站点之间传递通信量。

Fasbeaf.A包含一个站点和连接的相应的端口的列表。例如:

69.61.23.34:12765

216.195.34.235:12765

81.9.3.82:7777

81.222.131.45:7777

一旦连接上,特洛伊就被命令执行各种操作,以及它的代理功能,包括:

下载恶意程序的更新;

下载并运行任意文件;

停止运行。

一些命令改变Fasbeaf的行为。例如,特洛伊被命令不检查连接到它的代理端口的站点。

特洛伊还会发送不同的信息到远程站点,包括:

被感染机器的Windows 版本;

特洛伊监听的代理端口;

机器名;

当前用户名;

关于特洛伊的当前状况和行为的信息。

根据后门命令,特洛伊可能生成以下注册表:

HKLM\Software\Microsoft\Windows\ShellNoRoam\MUICache\"-System-\<random name>.exe" = <data>

HKCU\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\"-System-\<random name>.exe" = <data>

这里的<random name>是特洛伊当前运行的文件名;

<data> 是通过后门收到的数据。

这些键值还生成特洛伊每次更新的时间。<random name>是更新的变体名称。Fasbeaf不使用这些键值,但是会将这些值报告给后门连接。

相关解释:

词语大全 8944.net

copyright ©right 2010-2021。
词语大全内容来自网络,如有侵犯请联系客服。zhit325@126.com