百锐截获可绕过主流主动防御的超强后门程序

安全
百锐信息安全实验室近日捕获一个新型后门程序backdoor. w32.alg.sy,该病毒使用非常特殊的方式注入系统的alg.exe 进程,绕过了绝大部分主动防御程序及防火墙。

病毒描述 :

百锐信息安全实验室近日捕获一个新型后门程序backdoor. w32.alg.sy,该病毒使用非常特殊的方式注入系统的alg.exe 进程,绕过了绝大部分主动防御程序及防火墙。在alg.exe进程开启多个线程,接收黑客指令,传送用户数据。

本地行为:

1 病毒运行后是否自身副本到"C:\WINDOWS\System32\WinSys32目录下。

2 启动副本SysDat.exe程序,该程序完成一些列注入动作。

3 建立一个服务程序启动项,伪造成Microsoft Windows Media Player,同时覆盖相应路径下的unregmp2.exe程序。

4  sysdat.exe 创建系统的文件lag.exe,并挂起该进程,同时修改该进程内部数据,注入病毒代码到里面,这样就使用系统进程lag.exe的壳子完成病毒的

病毒映射的新模块基址0x10000000

  #p#

而真正的alg模块在0x01000000

Alg进程就变成了病毒程序的寄宿的空壳子。

5 每次开机重启服务路径下的unregmp2.exe都会启动sysdat.exe进程,同时在启动傀儡进程alg.exe 。

网络行为:

1 在傀儡进程中,会连接60.190.114.209(http://a3552152.oicp.net/)报告当前状态。

2 每个一段时间就按照对应的被控命令上传用户数据。

3 该ip指向浙江温州地区,而该进程文件伪装的一个信息同样是一个家浙江地区的IT公司。

4  每次将本地数据,固定传送2000个加密的数据包。

百锐启发式病毒检测引擎基于新型检测技术,不需升级即可查杀该病毒。百锐实验室提醒广大网民,未使用百锐引擎的用户请及时升级病毒库,开启主动防御功能来拦截该病毒。

【编辑推荐】

  1. 新希望:中国信息安全产业重装上阵
  2. 中小企业信息安全规划的10个必备步骤
  3. 启明星辰和网御星云重组揭开信息安全产业整合大幕
责任编辑:于爽 来源: 51CTO.com
相关推荐

2011-09-13 17:19:31

百锐超强病毒

2023-01-06 08:42:02

学习训练

2017-05-05 11:31:34

2009-03-17 01:09:24

2014-12-29 11:13:48

2017-09-15 16:12:42

2017-02-13 09:55:21

2015-12-02 10:33:40

2015-06-16 13:37:03

2020-03-31 10:19:14

网络安全IT安全漏洞

2011-06-30 14:04:03

2010-09-08 17:27:10

2019-09-06 15:16:59

2011-06-08 17:29:20

2018-11-07 09:35:50

2010-09-29 15:20:29

2011-11-25 15:34:33

2018-10-25 15:03:13

2017-09-15 11:29:41

2015-05-04 11:32:47

点赞
收藏

51CTO技术栈公众号