Backdoor.Khaos
发现: 2003 年 2 月 20 日
更新: 2007 年 2 月 13 日 11:43:42 AM
别名: BKDR_KHAOS.A [Trend], Backdoor.Khaos [KAV], Backdoor.Win32/Khaos [RAV]
类型: Trojan Horse
感染长度: 59,904 bytes [server];141,824 bytes [client]
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Backdoor.Khaos 是允许攻击者未经允许使用您计算机的后门特洛伊木马程序。Backdoor.Khaos 通常以 Server2.exe文件的形式出现。默认情况下它会打开6969 埠监听通讯。
Backdoor.Khaos 不会自动安装自己,而通常是被其它程序安装。其结果是,尽管 Backdoor.Khaos被安装在计算机上,大部份的情况下重新启动计算机后它就不再运行。
Backdoor.Khaos 用 Microsoft Visual Basic 5 编写并需要 Visual Basic (VB) run-time libraries 安装在计算机的情况下才能执行。
防护
* 病毒定义(每周 LiveUpdate™) 2003 年 2 月 20 日
* 病毒定义(智能更新程序) 2003 年 2 月 20 日
威胁评估
广度
* 广度级别: Low
* 感染数量: 0 - 49
* 站点数量: 0 - 2
* 地理位置分布: Low
* 威胁抑制: Easy
* 清除: Easy
损坏
* 损坏级别: High
* 删除文件: The .dll, .exe, and .sys files in the C:WindowsSystem and C:Windows folders
* 危及安全设置: Allows unauthorized access to the compromised computer
分发
* 分发级别: Low
* 端口: 6969
发现: 2003 年 2 月 20 日
更新: 2007 年 2 月 13 日 11:43:42 AM
别名: BKDR_KHAOS.A [Trend], Backdoor.Khaos [KAV], Backdoor.Win32/Khaos [RAV]
类型: Trojan Horse
感染长度: 59,904 bytes [server];141,824 bytes [client]
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
当 Backdoor.Khaos 执行时,该威胁的构成如下:
1. 通知用户端,
2. 打开 6969 埠监听通讯,
3. 等待远端用户指令。 此指令将使骇客能够使用感染的计算机。
Database.exe 通常是用户部分(骇客使用的部分)文件名称。 该部分有一个图形用户界面。
骇客可以使用用户部分在服务器内部打开有效载荷。该载荷创建批处理文件 C:WindowsSystemScan.bat,其中所含的命令行可以从 C:WindowsSystem 和 C:Windows 文件夹删除.dll, .exe 和 .sys 文件。因为路径名是固定的,很可能此威胁在 Windows NT, 2000, 或 XP系统上不构成任何威胁。
服务器包括了一些固定的信息 (hard-coded message)。骇客可以让任何下列的信息显示在您的计算机上:
1. You have way too much porn on your hard drive. Please delete some and restart your machine. | Error 12743:28576 FAT32
2. Damn you look like you got raped with the ugly stick. Get away from the monitor. Error 1K6h2a8o7s Khaos FAT32
3. Windows has detected a homosexual using this computer. Please become straight, restart, and try again.
4. Warning ! Windows has detected child pornography in the directory C:WindowsSystemColorsPorn and in directory C:America Online 6.0adownload | Please remove these files and restart your computer.
5. Khaos -N- Konfusion
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
这些指示适用于目前市面上所见的最新赛门铁克防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 产品系列。
1. 更新病毒定义。
2. 执行以下步骤之一:
* Windows 95/98/Me: 将计算机重新启动到安全模式。
* Windows NT/2000/XP: 结束特洛伊木马程序。
3. 执行完整的系统扫描,删除所有侦测到的 Backdoor.Khaos 文件。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。 可以通过两种方式获得最新的病毒定义:
* 运行 LiveUpdate,这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况,这些病毒定义会在 LiveUpdate 服务器上每周发布一次(一般为星期三)。 要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部“防护”部分的病毒定义 (LiveUpdate) 部分。
* 使用“智能更新程序”下载病毒定义。 “智能更新程序”病毒定义会在美国工作日(周一至周五)发布。 您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。 要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)部分。
智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义,请单击这里。
2. 以安全模式重新启动计算机或终止特洛伊木马进程
对于 Windows 95/98/Me
以安全模式重新启动计算机。 除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。 有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
1. 按一次 Ctrl+Alt+Del。
2. 单击“任务管理器”。
3. 单击“进程”选项卡。
4. d. 双击“映像名称”列标题,按字母顺序对进程排序。
5. 滚动列表并查找 Server2.exe(这是最常用名)。
6. 如果找到该文件,则单击此文件,然后单击“结束进程”。
7. 单击“任务管理器”。
3. 扫描和删除受感染文件
1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
* Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
* 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
2. 运行完整的系统扫描。
3. 如果有任何文件被检测为感染了Backdoor.Khaos,请单击“删除”。
描述者: Jari Kytojoki