红色女郎
红色女郎危险等级:★★★
病毒名称:Backdoor.Win32.RedGirl.a
截获时间:2007-7-15
本报告更新时间:2007-9-2
入库版本:19.32.00
类型:后门
感染的操作系统:Windows 9x/NT/2000/XP/2003/Vista
威胁情况:
传播级别:中
已感染案例:0-100
已经感染此病毒网站数量:0-5
全球化传播态势:中
清除难度:容易
破坏力:高
破坏手段:远程控制
这是一个由Microsoft Visual C++ 6.0 编写的后门病毒,病毒图标为一个视频文件的图标,文件名为:“姐姐的视频录像”,欺骗不明真相的用户点击运行。可结束多种杀毒软件,可接受黑客远程操纵,进行多种危险操作,如下载中毒电脑的文件、窥探屏幕,窃取密码等。
病毒运行后,先创建一个线程,该线程,利用FindWindow查找如下信息:
"主动防御 信息"
"主动防御 警报"
"允许"
"允许(A)"
"主动防御 警告"
"跳过"
"跳过(S)"
'卡巴斯基互联网安全套装 6.0'
"微点主动防御软件 "
"放行"
"不删除"
"添加为可信程序"
"下次采取相同策略"
"确定"
并向这些按钮发送WM_KeyDown,WM_LButtonDown,WM_LButtonUp,WM_Close消息,使上述杀毒软件失效. 字串5
接下来,病毒会遍历%SYSTEM%目录,查找"RedGirl.exe"文件,如果不存在,先从自身资源查找"DLL"资源名,然后将其释放到%SYSTEM%中,并更名为RedGirl.dat,利用CreateRemoteThread调用.再把自身复制过去,并用CreateProcess启动.
最后,开启一个服务,其服务名和描述均为"RedGirl".
这是一个功能强大的木马病毒,一旦中毒,本地系统将完全在其远程客户端的操控之下。
客户端可以对已中病毒的服务器端进行操控,如:
1、远程文件操作:包括上传、下载、复制、删除文件或目录
2、远程关机、重启、拨号控制,光驱控制,注册表锁定,鼠标锁定,对桌面图标、任务栏等锁定和隐藏等系统控制;
3、获取计算机CPU速度、计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4、对按键监视任务监视和终止以及直接的屏幕监视和控制;
5、偷窃用户密码;
此病毒不能自己传播,但有恶意的人可以通过各种手段欺骗用户,比如:此样本的图标为一个视频文件的图标,文件名为:“姐姐的视频录像”欺骗不明真相的用户点击运行。
安全建议:
1 安装正版杀毒软件、个人防火墙和安全软件,并及时升级,杀毒软件每天至少升级三次。
2 使用“系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。