AutoUpdate.exe,Backdoor.Win32.SFind.a

后门程序Backdoor.Win32.SFind.a被执行后，判断自身是否处于虚拟机环境中，如果是则结束自身防止被调试与分析；查找目录%SystemRoot%\system32\下是否存在文件“AutoUpdate.exe”，如存在则将其注册成名为“UpdateSrv”的服务并使用相关API函数启动此服务；否则拷贝自身到此目录下重命名为“AutoUpdate.exe”，使用函数CreateProcessA启动此病毒拷贝；在同一目录下释放动态链接库文件 “AutoUpdate.dll”，修改上述文件创建时间为“2004年”以增强隐蔽性；提权后查找进程“lsass.exe”申请空间将动态库文件 “AutoUpdate.dll”写入，创建远程线程在该进程中开启一本地线程；在目录%SystemRoot%\system32\drivers\下释放驱动文件“AutoUpdate.sys”并将其注册成名为“usbmouseb”的服务，修改SSDT表挂钩相关系统服务隐藏自身注册表和文件，后使用批处理执行自删除。

项：HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
键值：DisplayName
指向数据：UpdateSrv
项：HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
键值：ImagePath
指向数据：C:\WINDOWS\SYSTEM32\AutoUpdate.exe -u
项：HKLM\SYSTEM\CurrentControlSet\Services\UpdateSrv\
键值：Start
指向数据：02

动态库文件“AutoUpdate.dll”被加载运行后，从IP地址“61.164.102.90”读取后门种植者所设置的反弹连接“IP地址”与“端口号”进行反向连接，连接成功后开启多个线程与黑客进行通讯，接受黑客的控制并从IP“        116.252.185.15”的网站下载木马执行，使被病毒感染主机伦为傀儡主机。