Backdoor.Win32.PcClient.co 分析

Backdoor.Win32.PcClient.co  分析报告


安天实验室    CERT组分析

一、    病毒标签：

病毒名称： Backdoor.Win32.PcClient.co
病毒类型： 后门类
文件 MD5： ade5e1737ae066e6735d661da2561292
公开范围： 完全公开
危害等级： 4
文件长度： 17,923 字节
感染系统： windows 98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： PEtite 2.x
命名对照： BitDefender [Backdoor.PcClient.Q]

二、 病毒描述：

该病毒为后门类，病毒运行后，复制自身到系统目录下，衍生病毒文件。修改注册表Schedule的ImagePath值，以达到随机启动的目的。设置远程线程来执行Test Client.asf 和Test Client.wmv,在执行时插入到EXPLORER.EXE进程中。通过恶意网站、其它病毒/木马下载传播。主动连接网络，等待病毒控制端连接。连接成功后，控制端可以控制本机，获取想得到的用户信息。

三、 行为分析：
1、病毒运行后衍生病毒文件：
%System32%/Test Client.asf
%System32%/Test Client.exe
%System32%/Test Client.wmv
%System32%/Test Client.hke

2、修改注册表Schedule的ImagePath值，以达到随机启动的目的：
（1）注册表修改：
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Schedule
新: 键值: 字串: "ImagePath" = "C:/WINDOWS/system32/Test Client.exe"
旧: 键值: 字串: "ImagePath" = "%SystemRoot%/System32/svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Schedule
新: 键值: 字串: "ImagePath" = "C:/WINDOWS/system32/Test Client.exe"
旧: 键值: 字串: "ImagePath" = "%SystemRoot%/System32/svchost.exe -k netsvcs"

（2）Schedule服务信息：
服务名称：            Schedule
显示名称：            Task Scheduler
描述：    使用户能在此计算机上配置和制定自动任务的日程。如果此服务被终止，这些任务将无法在日程时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件的路径：　新值:  C:/WINDOWS/system32/Test Client.exe
旧值:  %SystemRoot%/System32/svchost.exe -k netsvcs
启动方式：            自动

3、将Test Client.asf 和Test Client.wmv插入到EXPLORER.EXE进程中

4、连接网络，等待病毒控制端连接。连接成功后，控制端可以控制本机，获取用户信息。

5、传播方式：通过恶意网站、其它病毒/木马下载传播。
   
   
注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。
   
   
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
       
(2) 强行删除病毒文件
    %System32%/Test Client.asf
%System32%/Test Client.exe
%System32%/Test Client.wmv
%System32%/Test Client.hke
   
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Schedule
新: 键值: 字串: "ImagePath" = "C:/WINDOWS/system32/Test Client.exe"
旧: 键值: 字串: "ImagePath" = "%SystemRoot%/System32/svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Schedule
新: 键值: 字串: "ImagePath" = "C:/WINDOWS/system32/Test Client.exe"
旧: 键值: 字串: "ImagePath" = "%SystemRoot%/System32/svchost.exe -k netsvcs"

(4)禁用服务Schedule