“后门”程序木马长期驻留上传敏感数据
2012-06-27 17:51:46来源:[标签:来源] 阅读 ()
【赛迪网-IT技术讯】近期,AVG病毒实验室捕获了一种“后门”程序,该木马一旦进入到系统,就会长期驻留,获取用户信息发送到服务端。并且,该木马还会等待服务端指令,执行下载病毒、上传敏感数据等功能。
该“后门”程序利用目前较流行的“借尸”方法(以CREATE_SUSPENDED标志调用CreateProcess创建进程,通过调用ZwUnmapViewOfSection、VirtualAllocEx和ZwWriteVirtualMemory修改目标进程数据,然后调用ZwGetContextThread和ZwSetContextThread修改目标进程线程执行位置,最后调用ZwResumeThread恢复目标进程执行)去创建自己的“僵尸”进程,发挥“后门”的主要功能。
“僵尸”进程启动后,会获取所需API的地址。
并且检查自己的路径是否是windows\\ggdrive32.exe,
如果不是在windows目录下,它会检查系统防火墙,并将ggdrive32.exe添加到系统防火墙授权程序列表中,检查杀软和系统维护工具进程,一旦发现,就会将其结束掉。
如果在windows目录下,它会创建一个线程,然后等待该线程返回。
该线程包含此木马的所有后门功能,包括:接受控制端命令、木马更新,扫描,下载上传数据,收集用户信息等功能,下图列出了该后门的部分命令和功能。
此类木马一旦入侵到您的系统,控制者会在您的系统中来去自如,危害相当严重。
目前,AVG已检测到此类后门程序为BackDoor.Generic15.BFOX,鉴于此木马的危害性严重,AVG提醒广大用户注意及时更新您的安全软件。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- 秒针酷宝电商峰会上海场圆满落幕 品效合一助力企业跨入电商2 2015-05-21
- “杨部长座谈会&2015互联网+中国制造业高峰论坛”圆满闭 2015-06-10
- 秒针酷宝电商峰会上海场圆满落幕 品效合一助力企业跨入电商2 2015-05-21
- “杨部长座谈会&2015互联网+中国制造业高峰论坛”圆满闭 2015-06-10
- 秒针酷宝电商峰会上海场圆满落幕 品效合一助力企业跨入电商2 2015-05-21
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
