Backdoor.win32.pcs.gen

病毒名称： Backdoor.win32.pcs.gen

病毒类型：后门

危害等级：高

文件长度： 22,278 字节

感染系统： windows9x 以上所有版本

编写语言： VC++6.0

加壳类型： Petite 2.2

病毒描述：

该病毒运行后会把本身拷贝到系统目录下，然后创建一个名字为“ aa ”的服务。该服务会启动后隐藏自己，同时将本身自带的另一个文件 aa.wmv （ aa.wmv 实际是个 DLL 文件）也拷贝到系统目录下，而且该服务会隐藏自身，使用户在服务管理器中找不到“ aa ”该服务。具有很强的隐蔽性。并且该程序在完成上述操作后，会主动与 IP 为 61.53.40.253 的主机建立连接，建立连接后接受客户端主机的控制。该木马还会记录现在的各种帐号（游戏，上网等等各种帐号密码发送给客户端）。此木马还能抓取当前用户的屏幕截图，发送给客户端。并且接收和发送客户端传给的文件，响应客户端的各种请求（包括客户端可以关闭服务器主机）， 是一个危害性很强的反向连接木马！

行为分析：

1 、将自身复制到系统目录下 .

2 、通过修改注册表的服务 ( 服务名“ aa ” ) 项来启动并隐藏服务：

HKEY_LOCAL_MACHINESYSTEMControlSet001Services 中添加一个“ aa ”项 添加 Type 键 键值 0x00000110

添加 Start 键 键值 0x00000002

添加 ErrorControl 键 键值 0x00000001

添加 ImagePath 键 键值 "C:WINNTsystem32aa.exe"

添加 DisplayName 键 键值 "aa"

添加 ObjectName 键 键值 "LocalSystem"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 中添加一个与 ControlSet001 中 Services 相同的内容。

3 、 IP 为 61.53.40.253 的主机建立连接接受控制。

4 、立连接后接收客户机器上的各种请求，包括客户机可以获取服务器上当前的屏幕截图，窃取当前用户的各种帐号密码传送给客户端。客户端可以随意增加，删除，修改，下载服务端的各种文件。客户端还可以关闭服务端主机。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置

附：

安天木马防线2005+试用版下载地址:

http://www.antiy.com/product/ghostbusters/index.htm

病毒上报信箱: submit@virusview.net

木马防线2005+：

木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。

高效木马查杀

采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。

系统安全管理

提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。

实时网络防护

全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。